Чем чреваты тесты Anti-Malware.ru и VirusTotal

[RuJN 21]

Забыл сказать: уважаемые ИСЕТ мне на обращение 474 869 не ответили.

Здравствуйте.

Ваше обращение зарегистрировано под номером 474 869

Пожалуйста, не отвечайте на данное сообщение и дождитесь ответа на Ваш вопрос от специалистов.

С уважением, Служба технической поддержки

ESET Russia.

Вы писали:

Здравствуйте. Ваш антивирус дает ложное срабатывание на http://www.z-olegcom.57.com1.ru/leaktest.exe

Пожалуйста, исправьте ситуацию

[ANDYBOND 283]

Если кто-то что-то делает, это не значит, что кто-то обязан делать так же.

Ибо это глупость - всем авторам программ писать у себя на сайте "это не вредоносное программное обеспечение, не блокируйте мой сайт!"

Согласен, это глупость, ибо цифровая подпись давно изобретена.

[Kapral 311]

но хостер и регистратор домена лично это перепроверять не должны явно.

Разве????

[alexgr 556]

кстати, был вопрос про законодательство. Я ответа так и не услышал, а я знаком с законодательством ряда стран Европы. Хотелось бы комментариев все же. Где и как это выписано

[ANDYBOND 283]

Разве????

А зачем? Жалоба плюс детект на VT: что им должно быть ещё нужно? Думаю, этого достаточно. Гражданские правоотношения исходят из презумпции виновности ответчика.

[alexgr 556]

презумпция виновности? это в каком праве выписано? Вы себя самого при действии такого законодательства представляете?

[DaTa 182]

Какой там он безвредный? 30 детектов! Да, на самом деле он безвредный, но хостер и регистратор домена лично это перепроверять не должны явно.

Домыслы о взломе комментировать не стану.

Андрей, не несите чепухи. Роботом детекты шлёпать по хэш-суме - это .. не законодательство изучать. Глядя на такие. кхм, ляпы со стороны антивирусных вендоров каждый раз убеждаюсь в том что качество детектов оставляет желать лучшего. Да что там говорить, только в апреле этого года компания Симантек удалила около 700 тыс. детектов из своей базы, как Вы думаете что это в основном были за детекты? . И это один из лидеров АВ индустрии, что же тогда говорить о маленьких компаниях, которые только из-за таких вот "детектов"(имеется ввиду автодятел) и держаться на плаву.

[K_Mikhail 807]

А зачем? Жалоба плюс детект на VT: что им должно быть ещё нужно?

В случае с EICAR, в отличие от случая с рассматриваемым файлом, ситуация несколько легче за счёт того, что в некоторых детектах присутствует ключевое Not A Virus.

ANDYBOND

Не флейма ради, сугубо личный вопрос -- если бы подобная ситуация случилась с каким-то другим ресурсом, например, относящемуся к Symantec, были бы Вы столь же многоречивы в своих обвинительных интонациях или сделали бы вид, что никакой крамолы нет?

[Z.E.A. 190]

Да что там говорить, только в апреле этого года компания Симантек удалила около 700 тыс. детектов из своей базы, как Вы думаете что это в основном были за детекты?

А нефиг им было добавлять мусор в базы. Задолбался уже слать для снятия фолсов.

Так ладно бы кусок кода в исключениях был, или эвристик чинили, а то хэш в базу - и всё. А остальное их не колышет. Тьфу.

[Kapral 311]

А зачем? Жалоба плюс детект на VT: что им должно быть ещё нужно? Думаю, этого достаточно. Гражданские правоотношения исходят из презумпции виновности ответчика.

Даже как то комментировать не хочется

[ntoskrnl 155]

презумпция виновности? это в каком праве выписано?

В гражданском, например. ANDYBOND так и написал. Например:

ст. 401 ГК РФ

Статья 401. Основания ответственности за нарушение обязательства

1. Лицо, не исполнившее обязательства либо исполнившее его ненадлежащим образом, несет ответственность при наличии вины (умысла или неосторожности), кроме случаев, когда законом или договором предусмотрены иные основания ответственности.

Лицо признается невиновным, если при той степени заботливости и осмотрительности, какая от него требовалась по характеру обязательства и условиям оборота, оно приняло все меры для надлежащего исполнения обязательства.

2. Отсутствие вины доказывается лицом, нарушившим обязательство.

3. Если иное не предусмотрено законом или договором, лицо, не исполнившее или ненадлежащим образом исполнившее обязательство при осуществлении предпринимательской деятельности, несет ответственность, если не докажет, что надлежащее исполнение оказалось невозможным вследствие непреодолимой силы, то есть чрезвычайных и непредотвратимых при данных условиях обстоятельств. К таким обстоятельствам не относятся, в частности, нарушение обязанностей со стороны контрагентов должника, отсутствие на рынке нужных для исполнения товаров, отсутствие у должника необходимых денежных средств.

4. Заключенное заранее соглашение об устранении или ограничении ответственности за умышленное нарушение обязательства ничтожно.

[strat 275]

Какой там он безвредный? 30 детектов! Да, на самом деле он безвредный, но хостер и регистратор домена лично это перепроверять не должны явно.

Здесь есть одна очень важная зацепка. Я думаю достаточно общеизвестны софизмы "куча" и "лысый". Исходя из этого возникает вопрос - а сколько надо детектов( 1 - 2 или все таки 30) чтобы накатать жалобу, заблокировать домен? А какие это должны быть антивирусы? А если на VT есть детект одним антивирусом, например VIPRE, этого достаточно, чтобы заблочить домен? Короче- а судьи кто?

Пора делать тест на блокировку доменов...

[RuJN 21]

Здесь есть одна очень важная зацепка. Я думаю достаточно общеизвестны софизмы "куча" и "лысый". Исходя из этого возникает вопрос - а сколько надо детектов( 1 - 2 или все таки 30) чтобы накатать жалобу, заблокировать домен? А какие это должны быть антивирусы? А если на VT есть детект одним антивирусом, например VIPRE, этого достаточно, чтобы заблочить домен? Короче- а судьи кто?

Пора делать тест на блокировку доменов...

Нужен умный сотрудник надзора и не подкупочная компания

[Kapral 311]

ntoskrnl

Что вы понимаете под обязательством?

Обязательство перед кем нарушил Олег?

[Valery Ledovskoy 1082]

Нужен умный сотрудник надзора и не подкупочная компания

Т.е. ничего из этого не выйдет

[Kapral 311]

а сколько надо детектов( 1 - 2 или все таки 30) чтобы накатать жалобу, заблокировать домен? А какие это должны быть антивирусы? А если на VT есть детект одним антивирусом, например VIPRE, этого достаточно, чтобы заблочить домен?

И все ли вендоры равны?

Считается ли детект одного равным детекту другого?

или по другому

Есть 2 вендора - один считает что файл чист, другой что - малварь.

Чье мнение принимать во внимание

[Сергей Ильин 1538]

Все же считаю неверным требовать от владельца сайта, чтобы он заранее оправдывал чистоту всех файлов, которые у него хранятся. Когда у нас антивирусные вендоры (любые при чем, если берется в расчет количество детектов) у нас стали истиной в последней инстанции и всемирной кибер-полицией в одном лице?

Гы

http://www.pcflank.com/ тоже в бан?

http://www.virustotal.com/file-scan/report...7e6d-1312379084

Андрей, надо идти до конца, не отступать от принципов

[Valery Ledovskoy 1082]

Есть 2 вендора - один считает что файл чист, другой что - малварь.

Чье мнение принимать во внимание

Вот поэтому у органов, которые могут принимать решение о блокировке сайтов, должна быть собственная лаборатория, специалисты которой могут определить, является ли программа вредоносной или нет. А руководствоваться детектами 43 антивирусов на VirusTotal - это глупость откровеннейшая. Почему-то на то, что в любом городе есть судебная экспертиза, на которую тратятся бешеные деньги (например, в Ставрополе, есть целый небольшой закрытый квартальчик для этих целей) - это воспринимается нормально. Но когда речь заходит о том, что и по компьютерным преступлениям тоже нужны специалисты, уровня не хуже, чем в антивирусных компаниях, то здесь какой-то идёт затык. "Забаним всё до основанья, а затем..."

Когда у нас антивирусные вендоры (любые при чем, если берется в расчет количество детектов) у нас стали истиной в последней инстанции и всемирной кибер-полицией в одном лице?

Ага, вот и я о том же

[Kapral 311]

Вот поэтому у органов, которые могут принимать решение о блокировке сайтов, должна быть собственная лаборатория, специалисты которой могут определить

А где их учить?

Это же слишком быстро развивающаяся область

[ntoskrnl 155]

ntoskrnl

Что вы понимаете под обязательством?

Обязательство перед кем нарушил Олег?

Kapral, что подразумеваю под обязательством лично я, в данном случае, не столь существенно. Важно, что подразумевали под обязательствами Олег и его хостер и/или регистратор при составлении Договора(ов). У меня, по понятным причинам, этих документов перед глазами нет и я не могу уверенно сказать, входит ли дизассемблирование и установление вредоности/чистоты хранящихся на хостинге файлов в обязанности (по Договору) хостера, думаю, Олег это прояснит при возможности. Правда, предполагаю, с учётом нынешних реалий, там вполне могут быть пункты о малвари/варезе и т.п. и о том, что Заказчик обязуется не размещать материалы такого рода. Вполне логично, что при этом там будут описаны и ответные действия хостера/регистратора, и, возможно, где-то (в приложениях и т.п., отсылкой к общедоступным документам) описана процедура установления "малварности" файлов. Вполне возможно, скажем, прописать в Договоре, что эта "малварность" устанавливается по "материалам" вирустотала/сканированием кламавом/по божественному провидению. Почему нет, законодательству это не противоречит, а Заказчик не против этого, ставя свою подпись/соглашаясь с публичной офертой. Повторяю, это в качестве общих рассуждений, я не вижу возможности обсуждать юридическую сторону дела, не видя документов...

[Valery Ledovskoy 1082]

А где их учить?

Это же слишком быстро развивающаяся область

Ну, не знаю, не знаю. Я вот не могу наверняка сказать, что у судмедэкспертов методы меняются медленно, что преступники не используют новые методы скрытия следов преступлений, и что там сейчас мало используется современных технологий, которые растут как грибы после дождя.

Тем не менее, одних судмедэкспертов учат другие судмедэксперты, т.е. какое-то вот есть закрытое сообщество, и всё там нормально вертится. Я думаю, что и в плане компьютерной безопасности возможно создать другое такое же сообщество. Правда, всё зависит от ответа на вопрос, нужно ли это кому-нибудь и готово ли государство (государства) тратить на это деньги. Специалисты обычно хотят за свою уникальность деньги и (также, обычно) им всё равно, где работать - в антивирусной компании или в государственных структурах (если там хорошо платят и человек ощущает, что делает что-то хорошее). И следить за прогрессом, в общем-то, не так сложно. Соответствующие экспертные службы различных государств могут обмениваться информацией, которую добывают, в Интернете и на специализированных конференциях тоже информации хватает.

Т.е. вопрос не в том, возможно ли (ибо возможно), а вопрос в том, нужно ли.

[Kapral 311]

Т.е. вопрос не в том, возможно ли (ибо возможно), а вопрос в том, нужно ли.

Нужно

Я просто уже технические подробности выяснял

Причем это надо не только что бы регулировать сайты

Наслаждаемся попкорном

http://roem.ru/2011/08/07/addednews33547/

[A. 876]

Смотрим сюда

http://safebrowsing.clients.google.com/saf...tp://z-oleg.com

не очень понимаем - то ли вирусы были, то ли нет, то что реально стоит посмотреть оттуда по ссылке - инфу по другим агава хостингам

http://safebrowsing.clients.google.com/saf...c?site=AS:43146

Наслаждаемся попкорном

http://roem.ru/2011/08/07/addednews33547/

ну так

Agava.ru легко ответит на пост через Roem.ru

Лифтеры это те кто кнопочки за пассажиров нажимает! Я электо-механик наладчик ОTIS. У меня три диплома, и электромеханический техникум.

какой механик - такие и лифты

иди чини уже

[Danilka 678]

Гы

http://www.pcflank.com/ тоже в бан?

Ха, http://www.matousec.com в бан.

http://www.virustotal.com/file-scan/report...c9ee-1312785586

http://www.virustotal.com/file-scan/report...e34e-1312785644

[Виталий Я. 859]

На нашем сайте в разделе утилит выложена лечилка FunLove. Детектируется пачкой говно/фейк-АВ - http://www.virustotal.com/file-scan/report...a7dd-1312730074.

Когда там kaspersky.com отключат?

А не кажется ли, что либо на конференционных встречах с представителями "говно/фейк-АВ" всем пофигу на этот факт, либо по жизни пофигу?