Чем чреваты тесты Anti-Malware.ru и VirusTotal

[Зайцев Олег 402]

Случай конечно вопиющий ИМХО.

Олег, а почему Агава сначала не обратилась лично в собственнику домена? Ведь данные то у них должны были быть, да и сам сайт явно не похож на отстойник для вареза или вирья.

Кстати, Zenon рекомендую, с ними приятно работать ...

Агава была исторически, она же для меня является доменным регистратором (т.е. именно у них я зарегистрировал домен, все остальная цепочка прояснилась только сейчас). 25.06.2011 мне от саппорта Агава пришел вопрос о том, что дескать clean-mx.de сообщил о том, что они располагают данными о малваре - и ссылкой на этот EXE. Я объяснил саппорту, что файл данный не опасен (писал некто Константин Василенко), они подтвердили, что не сомневаются в том, что я не размещаю малварей. И на этом все дело и закончилось ... при этом о блокировке домена и прочих чудесах речи естественно не было. Вечером в пятницу опять-же от саппорта Агавы пришло письмо (пост-фактум) о том, что мой домен блокирован. Написал это саппортер Гришко Алексей, его письмо в начале топика. Теперь в переписке они начинают рассказывать, что дескать блокирвали не они, другой саппортер рассказывает, что разблокировать могут - но в понедельник, так как только по рабочим дням работают их партнеры, занимающиеся доменами. От третьего саппортера я узнаю, что блокировку иницировал некий регистратор "Directi", четвертый пишет, что блокировал регистратор http://publicdomainregistry.com/ и разблокировать они не могут .... т.е. полнейшая "путаница в показаниях". Для надежности на единственный известный мне адрес abuse@publicdomainregistry.com я написал - ответа не последовало.

[EVIK5 5]

Всё не правда, то что про ссылку некто не знал и нечего там не качал!

я вот ещё: Виталик » 28 июн 2011, 06:59 http://kltest.org.ru/viewtopic.php?f=19&am...&start=3880 написал, и обратил внимание на такой возмутительный факт, может кто и прочитал. Это не я.

И вообще, ссылка на лайк тест появилась в то время почти во всех малваре домайн листах, вирусяка и есть. Кстати драйверы AVZ использует Bagle, и все про это знают.

[A. 876]

Всё не правда, то что про ссылку некто не знал и нечего там не качал!

я вот ещё: Виталик » 28 июн 2011, 06:59 http://kltest.org.ru/viewtopic.php?f=19&am...&start=3880 написал, и обратил внимание на такой возмутительный факт, может кто и прочитал. Это не я.

И вообще, ссылка на лайк тест появилась в то время почти во всех малваре домайн листах, вирусяка и есть. Кстати драйверы AVZ использует Bagle, и все про это знают.

А вот и искомый Вася Пупкин из Норильска, он же лифтер Виталег из Бутого

[Kapral 311]

вместо признания тем же Зайцевым своей вины в фактически недобросовестном использовании публичных ресурсов

А собственно в чем состоит вина???

[Юрий Паршин 330]

На нашем сайте в разделе утилит выложена лечилка FunLove. Детектируется пачкой говно/фейк-АВ - http://www.virustotal.com/file-scan/report...a7dd-1312730074.

Когда там kaspersky.com отключат?

[Зайцев Олег 402]

Правильно такие сайты блокировать, правильно реагировать на жалобы на такие сайты, правильно наводить порядок в Интернете, избегая двойных стандартов, и не правильно, когда ЛК призывает к определённым действиям, а потом, и всегда якобы случайно, её отдельные представители жалуются на совершение таких действий в отношении их самих.

...

Почитайте внимательно начало типика. Если бы внутри EXE был бы хоть какой-то функционал (любой), можно было бы дискутировать о его опасности, двойных стандартах и так далее. И я бы не считал это чем-то таким - да, например детект некоего инструмента или некоей инженерной тулзы можно понять, и о нем можно спорить. Но файл ничем не упакован, ничего опасного не импортирует, и вообще кода кроме ShowMessage не содержит - он просто выводит мессадж, я же не зря привел листинг дизассемблера ... и не зря привел пример с oszone, который тоже в аналогичных списках - по аналогичной причине. И еще десятки сотни сайтов, на которых лежит что-то, на что есть фолсы.

[Kapral 311]

Но поскольку тестовые вирусы были размещены на обсуждаемом сайте скрыто, без каких-либо о том предупреждений, я не могу пожалеть виновного и назвать его невиновным, а вот регистратор домена и хостер правы:

Андрей - будь последовательным до конца

http://service1.symantec.com/support/inter...041118105630932

Я там не вижу предупреждений, там какие то непонятные крикозябли

накатай абузу. и ответ сюда - вот тогда это будет настоящее

Правильно такие сайты блокировать, правильно реагировать на жалобы на такие сайты, правильно наводить порядок в Интернете, избегая двойных стандартов,

Не зря я EICAR упоминал: там столько всего понаписано, в том числе и об отказе от ответственности за вред, который могут принести размещённые там тестовые вирусы,

[ANDYBOND 283]

А собственно в чем состоит вина???

Не зря я EICAR упоминал: там столько всего понаписано, в том числе и об отказе от ответственности за вред, который могут принести размещённые там тестовые вирусы, что не остаётся никаких сомнений в том, что то за сайт, каково его содержание и для чего это содержание служит. Я не сказал бы ни слова против гражданина Зайцева, если б на его сайте были бы размещены аналогичные прямые и чёткие указания.

Вина в том, что таких указаний на сайте не было.

Почитайте внимательно начало типика. Если бы внутри EXE был бы хоть какой-то функционал (любой), можно было бы дискутировать о его опасности, двойных стандартах и так далее. И я бы не считал это чем-то таким - да, например детект некоего инструмента или некоей инженерной тулзы можно понять, и о нем можно спорить. Но файл ничем не упакован, ничего опасного не импортирует, и вообще кода кроме ShowMessage не содержит - он просто выводит мессадж, я же не зря привел листинг дизассемблера ... и не зря привел пример с oszone, который тоже в аналогичных списках - по аналогичной причине. И еще десятки сотни сайтов, на которых лежит что-то, на что есть фолсы.

Детект VT. Не один и не два. И большего не надо. Я не обвиняю Вас в распространении вирусов. Но, убеждён, при таком детекте на VT при отсутствии прямых предупреждений на сайте сайт должно отключать.

[Kapral 311]

Вина в том, что таких указаний на сайте не было.

См. пост перед твоим

Ну не китаец я, не китаец...

А хочешь я найду на вьетнамском, а на суахили ?

[ANDYBOND 283]

накатай абузу. и ответ сюда - вот тогда это будет настоящее

Я подобным не занимаюсь.

См. пост перед твоим

Ну не китаец я, не китаец...

А хочешь я найду на вьетнамском, а на суахили ?

Гугль Хром мне автоматически всё переводит. Не вижу поводов жаловаться. Но, повторяю, стукачеством таким я никогда не занимался.

[Зайцев Олег 402]

Вина в том, что таких указаний на сайте не было.

На моем сайте ссылок для скачивания этого файла нет. Ссылка была в описании методологии тестов, где указано его назначение. Была в качестве примера слепого тиражированного совершенно безобидного файла (я ее приводил как аргумент, почему нельзя применять детект >N на VT в качестве базиса для создания "антивируса без вирлаба". И была на самом AM, где физически хранилась копия этого файла - его применяли потом в каких-то других тестах по аналогичному назначанию - в качестве примера безобидного исполняемого файла. Только вот сейчас он утерял смысл - изначально его назначение бало такое - "безобидный EXE, который гарантировано ничего не делает и потому не детектируется антивирусами".

[ANDYBOND 283]

На моем сайте ссылок для скачивания этого файла нет.

Замечательно. Но файл там есть? Значит, и предупреждение о его наличии, считаю, быть должно. Ничего личного. Прошу понять правильно.

[Сергей Ильин 1538]

Правильно такие сайты блокировать, правильно реагировать на жалобы на такие сайты, правильно наводить порядок в Интернете, избегая двойных стандартов, и не правильно, когда ЛК призывает к определённым действиям, а потом, и всегда якобы случайно, её отдельные представители жалуются на совершение таких действий в отношении их самих.

Андрей, я бы полностью согласился, если бы не одно маленькое, но существенное НО. Мы же знаем, что эта утилита неопасная в принципе. Инцидент не говорит об отсутствии двойных стандартов, он говорит о другом. Индустрия скатывается к тупейшему воровству детектов и никто не несет никакой ответственности за ложный срабатывания (если только речь не идет о крупных компаниях, которые могут за себя постоять). Это системный кризис на самом деле.

Это хорошо Олег в теме и может быстро разобраться с этим. А что делать другим пострадавшими уже или в будущем?

Может как-то так реагировать правильно тогда? http://www.anti-malware.ru/forum/index.php?showtopic=18698

А вот и искомый Вася Пупкин из Норильска, он же лифтер Виталег из Бутого

Лифтер вполне мог приложить к этому еще не до конца переломанные руки к этому

[Kapral 311]

А что делать, если регистратор не приветствует использование Хрома? у себя?

Банить по малейшему чиху? не разбираясь?

А где гарантия, что сайт регистратора не подхватит реальную заразу?

А про доказательства в виде "много детектов на ВТ" - тут уже сказали

Но файл там есть? Значит, и предупреждение о его наличии, считаю, быть должно

Это - имхо достаточно

Ссылка была в описании методологии тестов, где указано его назначение. Была в качестве примера слепого тиражированного совершенно безобидного файла

[ANDYBOND 283]

Андрей, я бы полностью согласился, если бы не одно маленькое, но существенное НО. Мы же знаем, что эта утилита неопасная в принципе. Инцидент не говорит об отсутствии двойных стандартов, он говорит о другом.

Я понимаю, что:

1. Утилита безвредная;

2. Имеем коллективный сбой.

По пунктам.

1. Да, утилита безвредная. Но если я, простой пользователь, не знающий подробностей, вижу 30 детектов на неё, я, если считаю себя умным человеком, воздержусь от её скачивания и использования, ибо у меня есть все основания считать её вредоносной.

2. В данном случае, да, имеем коллективное перебдение. Оставим в стороне его причины. Рассмотрим сам факт. Опять же, по моему личному мнению, в случае с вирусами, особенно, если речь об угрозах нулевого дня, лучше перебдеть, что и было сделано. В итоге, простой пользователь защищён. Иными словами, тут, как мне видится, вендоры сработали правильно. Но EICAR тоже всеми должен детектиться, и, к слову, почти всеми, а не всеми, детектится. Но сайт не отключают. А почему? А потому что как хостер, так и регистратор домена, равно как и любой желающий может прочесть о том, что на том сайте за содержание и для чего оно служит. Значит, простым и логичным решением является размещение аналогичных предупреждений о содержании сайта на сайтах, где по факту размещено что-то подобное. Тогда детекты на VT автоматически перестают иметь отношение к вопросу, а все спорные моменты можно урегулировать перепиской с инженерными кадрами хостера и регистратора домена. Собственно, тогда скорее всего и вопросов-то с их стороны не возникнет. Тут же имеем, прекрасно понимаю, просто размещение, просто тестовое использование, просто расчёт на то, что никто и никогда на это не обратит внимание. Всё просто. Но вот нашёлся один "Виталик", и из-за отсутствия таких, как на EICAR, прямых и явных предупреждений, в один миг всё стало сложно, как только информация дошла до Европы.

Вывод: прямые и явные предупреждения, как на сайте EICAR, на сайтах аналогичного назначения быть обязаны. При этом наличие или отсутствие ссылок на размещённые тестовые образцы значения не имеет.

[EVIK5 5]

Андрей, я бы полностью согласился, если бы не одно маленькое, но существенное НО. Мы же знаем, что эта утилита неопасная в принципе. Инцидент не говорит об отсутствии двойных стандартов, он говорит о другом. Индустрия скатывается к тупейшему воровству детектов и никто не несет никакой ответственности за ложный срабатывания (если только речь не идет о крупных компаниях, которые могут за себя постоять). Это системный кризис на самом деле.

Это хорошо Олег в теме и может быстро разобраться с этим. А что делать другим пострадавшими уже или в будущем?

Может как-то так реагировать правильно тогда? http://www.anti-malware.ru/forum/index.php?showtopic=18698

Лифтер вполне мог приложить к этому еще не до конца переломанные руки к этому

Дяденьки

Лифтеры это те кто кнопочки за пассажиров нажимает! Я электо-механик наладчик ОTIS. У меня три диплома, и электромеханический техникум. Это Вы купили наверно свое образование, а на практике некто и незнает как у Вас мозг работает. Я вот знаю с тем что я могу разобратся за 5 минут, Вам потребуется вся жизнь. Инштейн кстати так-же не знал элементарных вещей - мозг не резиновый, во всём что мне интересно я в итоге всегда разбираюсь хорошо. И какое Бутого, когда может быть и Ленинский п-кт. У нас тут вся братва мы некого не боимся! Мы в армии служили, и вообще жизнь повидали - мужики.

[Danilka 678]

Хм, интересные вещи тут за выходные произошли. ИМХО тут не Виталик приложил руку, и не Андрей даже (он приложил только свой язык в теме), тут кто то намного крупнее. Есть "на примете" одна конторка, но пока воздержусь от необоснованных обвинений в их адрес.

Олег, раз путаются в показаниях, то, на мой взгляд, тут 2 варианта:

1) У них там полная неразбериха в работе - никто ничего не знает и т.д.

2) Решение принимали уровнем намного "выше", чем саппорт и т.п. И опять же - по указке...

[akoK 75]

Danilka, все хорошо, но не явен мотив. Поставить подножку конкуренту? Месть?

[Valery Ledovskoy 1082]

прямые и явные предупреждения, как на сайте EICAR, на сайтах аналогичного назначения быть обязаны.

Обязаны - это неправильное слово по-любому. По какому закону нужно вешать предупреждения обо всех чистых файлах, расположенных на сайте? И чем это не помощь тем людям, которые могут хотеть этот сайт взломать?

Что, если бы это была не тестовая утилитка, которая выводит определённое сообщение, а запакованный каким-нибудь хитрым упаковщиком "Блокнот"? Такие вещи тоже могут детектироваться некоторыми антивирусами как вредоносные программы, по упаковщику. А ещё часто производители ПО нарываются на такие "умные" антивирусы, детектящие по упаковщикам, и теряют клиентов. Особенно небольшие производители, у которых больше потребности в защите своих продуктов от разного рода дизассемблирования и пр., ибо продажи не такие большие.

Т.е. проблема, здесь озвученная, достаточно уже созревшая. И неплохо бы придумать, как с этим явлением бороться. Доводы "сам виноват" здесь никак не канают.

[Danilka 678]

Danilka, все хорошо, но не явен мотив. Поставить подножку конкуренту? Месть?

Тут согласен с тобой, причем мотива как такового нет вообще по сути. Но, я не сомневаюсь в том, что они способны и просто без мотива это сделать - был бы повод.

[ANDYBOND 283]

Обязаны - это неправильное слово по-любому.

Да, несовершенное законодательство - это проблема. В Европе есть такие требования, не то, что тут. Что, конечно же, не значит, что тут не надо ориентировать на там. Интернет границ не имеет, что не значит, что у кого-то есть право ссылаться на несовершенное законодательство страны проживания и творить в Интернете по такому случаю беспредел. Раз на сайте EICAR есть необходимое правовое сопровождение, значит, оно, да, обязано быть и на аналогичных сайтах. При этом, к слову, никто о взломе сайта EICAR при размещении необходимых пояснений не думал. Почему? Да потому что от взлома защищаются вовсе не сокрытием содержания сайта, а совершенно иными методами. И Вы это знаете. Потому взлом тут совершенно не по теме, а вот необходимость полной декларации содержания сайта или хостинга и содержание либо форма такого рода декларации, вот это как раз то, что, считаю, обсуждения и заслуживает. При этом всем будет только лучше, ибо любой на сайт зашедший сможет чётко уяснить содержание, которое он может встретить. И сразу всё станет гораздо проще для всех.

[Valery Ledovskoy 1082]

Да, несовершенное законодательство - это проблема.

Только Вы не сказали, что незаконного в том, чтобы размещать на сайте безвредный файл. Я бы сказал, те, кто сейчас этот файл детектят - именно они нарушают закон и должны, по идее, по всем законам, понести наказание за нанесение морального и материального вреда владельцу ресурса своими необоснованными детектами.

В Европе есть такие требования, не то, что тут.

Вот и приведите ссылку на европейское законодательство, которое выдвигает требования, о которых Вы говорите.

Раз на сайте EICAR есть необходимое правовое сопровождение, значит, оно, да, обязано быть и на аналогичных сайтах.

Если кто-то что-то делает, это не значит, что кто-то обязан делать так же.

Ибо это глупость - всем авторам программ писать у себя на сайте "это не вредоносное программное обеспечение, не блокируйте мой сайт!" А если так и будет когда-нибудь повсеместно, то этим будут пользоваться вирусописатели, которые и сейчас пишут на вредоносных сайтах, что их детища проверены каким-либо популярным антивирусом.

Да потому что от взлома защищаются вовсе не сокрытием содержания сайта, а совершенно иными методами.

Т.е. где-то законодательно закреплено, какими методами можно защищать сайт, а какими нет? Ну-ка, ну-ка, дайте пруфлинк, интересно

Потому взлом тут совершенно не по теме, а вот необходимость полной декларации содержания сайта или хостинга и содержание либо форма такого рода декларации, вот это как раз то, что, считаю, обсуждения и заслуживает.

Ну-ну. Наверное, Вы лучше знаете, как защищать сайты. Сейчас все кинутся создавать дерево папок/файлов своих сайтов и выкладывать ссылку на него на главной странице

И сразу всё станет гораздо проще для всех.

Особенно для взломщиков и вирусописателей

[Юрий Паршин 330]

Гав-гав.

Это какое же законодательство обязывает описывать каждый чистый файл во всех подробностях? А может еще и исходники выкладывать обязывает?

Андрей, твой ФГМ видимо достиг терминальной стадии?

[RuJN 21]

Тут согласен с тобой, причем мотива как такового нет вообще по сути. Но, я не сомневаюсь в том, что они способны и просто без мотива это сделать - был бы повод.

Мое личное мнение:

это дело рук ESET, которые решили задавить конкурента.

, вроде все подходит. Олег, как вы считаете, были ли какие-нибудь события, которые могли послужить поводом осуществить это? То есть есть ли мотив?

На мой взгляд, сейчас нужно выяснить, какими антивирусными решениями пользуются АГАВА и регистратор домена и в каких они с ними отношениях.

Вроде сайты ГК ЛЕТА (ЗАО ИСЕТ туда входит) на агаве не размещаются.

[ANDYBOND 283]

Только Вы не сказали, что незаконного в том, чтобы размещать на сайте безвредный файл.

Какой там он безвредный? 30 детектов! Да, на самом деле он безвредный, но хостер и регистратор домена лично это перепроверять не должны явно.

Домыслы о взломе комментировать не стану.