Чем чреваты тесты Anti-Malware.ru и VirusTotal

[akoK 75]

В понедельник займусь, сделаю пару зеркал

Площадки для зеркал нужны?

[Rustock.C 110]

Кстати, изменения: http://www.virustotal.com/file-scan/report...c985-1312714032

Result: 20 /31 (64.5%)

Где ещё более 10 вендоров?

[RuJN 20]

Извиняюсь, в предыдущем отчете были использованы не все АВ.

http://www.virustotal.com/file-scan/report...c985-1312715591

[Z.E.A. 190]

А на кнопочку нажать не?

There is a more up-to-date report (30/43) for this file.

[Rustock.C 110]

А на кнопочку нажать не?

Нажал. И где там изменения по детекту?

[RuJN 20]

Нажал. И где там изменения по детекту?

Это я его сканировал, так как, как я выше написал, тот был просканирован не всеми АВ. Извините, что было 23 АВ не заметил.

[Z.E.A. 190]

При нажатии, появляются остальные 10 вендоров.

[Rustock.C 110]

При нажатии, появляются остальные 10 вендоров.

Пользователем RuJN выше было написано, что появились некие изменения. Никаких изменений я не вижу. Как детектили 30 вендоров так и детектят.

[Z.E.A. 190]

Пользователем RuJN выше было написано, что появились некие изменения.

Нажал. И где там изменения по детекту?

А я пользователь RuJN, что требуете от меня объяснений?

Я сказал что чтобы развернуть остальные 10 результатов надо нажать на кнопку. В чём проблема?

[Mr. Justice 771]

Сообщения RuJN опубликованы. Вы их можете прочитать выше. К сожалению его сообщения публикуются с задержкой.

[Kapral 311]

Почитал комменты на ВирусТотал

Стало стыдно за некоторых представителей хомо сапиенс...

Хотя большинство понимают в чем дело

[VictorVG 10]

Ребят, извините, но я я так читать не могу - 19/23 писем откровенный флуд и выяснение отношений... В мусорке. Можно по делу? Надеюсь без обид. Тема интересна, но мы ведь не дети и нам нечего из-за конфетки ссорится....

[Зайцев Олег 402]

В данной ситуации мы не можем отвечать за действия Регистратора.

Все, что мы можем сделать в данной ситуации, это попробовать связаться с

ним, объяснив, что находится по данной ссылке.

Просим Вас уточнить это.

Если данные действия не увенчаются успехом и Регистратор не разблокирует

домен, Вам необходимо будет удалить данный контент. После чего мы

попробуем вернуться к вопросу разблокировки доменного имени.

--

С уважением, Урал Нургалин

Менеджер по работе с клиентами

E-mail: support@agava.com

Вот что пришло только что. Причем уже двум сотрудникам Агавы я детально рассказывал про этот файл, это третий... Вот и варианты - или удалить этот злополучный файл и разблокировать домен, или бороться неопределенное время. Интересные размышления в тему:

1. ссылки на этот файл нигде нет, судя по логам обращений к нему тоже не было длительное время - ее знают только участники тестирования и компании, получившие ликтесты после проведения тестирования для того, чтобы они смогли убедиться в правильности тестов (ликтесты тоже не опасны, но их публично никому не раздавали).

2. следствие п.п. 1 - кто-то вручную должен был начать компанию по поводу этого сайта и блокировки домена

3. регистратор поступает тупо - "мне пожаловались, я заблокировал" - своих экспертов там явно нет

[akoK 75]

регистратор поступает тупо - "мне пожаловались, я заблокировал" - своих экспертов там явно нет

Регистратор реагирует на жалобу которая подтвердилась. К нему претензий быть не может.

ссылки на этот файл нигде нет, судя по логам обращений к нему тоже не было длительное время

Какой вывод из этого следует?

[Зайцев Олег 402]

1. Регистратор реагирует на жалобу которая подтвердилась. К нему претензий быть не может.

2. Какой вывод из этого следует?

1.именно - и при этом у регистратора нет экспертов, проверка лобовая - "на VT кто-то детектит, значит вирус".

2. обращения пошли недавно - вывод риторический, кто-то решил подложить свинью и придумал как (зная особенность п.п. 1)

Причем самое смешное в том, что поглядев базы "вирусов" и кандидатов на блокировку домена, я увидел например oszone.net - их скоро постигнет моя участь, "абуза" на них уже в базе (тоже беспочвенная и по тому же принципу - "кто-то на VT детектит - значит вирус".

[akoK 75]

Можно вспомнить VI где карантины можно было (некоторое время) качать

[DiabloNova 175]

1.именно - и при этом у регистратора нет экспертов, проверка лобовая - "на VT кто-то детектит, значит вирус".

Сомнительно. В таком случае домен мог быть отключен уже через несколько дней (неделю), а не спустя более месяца после попадания в трекеры.

Также сомнительно считать что в PublicDomainRegistry сидят одни дураки. Повертевшись в трекерах домен попал в блоклисты и если VT к этому и имел отношение, то только как ссылка на вердикт сканирования.

Абуза на сайт на котором в открытую лежит exe файл, который детектируется некоторым top AV как Trojan Horse (кстати детект по хэшу файла, меняем 1 байт и порядка 20 детектов отвалятся), тут интересно что было целый месяц до блокировки) Дискуссия, уточнение подробностей?

[Сергей Ильин 1538]

Случай конечно вопиющий ИМХО.

Олег, а почему Агава сначала не обратилась лично в собственнику домена? Ведь данные то у них должны были быть, да и сам сайт явно не похож на отстойник для вареза или вирья.

Когда AM забанят? laugh.gif

На всякий случай удалили с FTP этот файл.

Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Мне кажется пора голосовать ногами против этого хостера.

Кстати, Zenon рекомендую, с ними приятно работать. В свое время Доктора на них пытались надавить, они отзванивали

http://www.virustotal.com/file-scan/report...20e-1312662717#

Прямо можно написать статью на эту тему в духе той, что была год назад про воровство детекта. Там явно видно, что большинство вендоров тупо обезьянничает, даже не проводя анализ файлы никакой. Исходник приведен в начале топика и там видно, что это тестовая утилита.

Считаю блокировку правильной: надоели эти игры Лаборатории Касперского и её нынешних сотрудников с вирусами и псевдовирусами! Тем более, что делается это без предупреждения.

Кто конкретно правильного то, поясните. Правильно блокировать безобидные тестовые утилиты или может быть правильно воровать детект друг у друга? Что именно правильно из этого?

30 антивирусов дали детект. Это показатель.

О да, действительно показатель!

[akoK 75]

О да, действительно показатель!

Не нужно иронии. 30 даже "грязных" детектов это показатель при помощи которого можно оперировать репутацией жертвы

[priv8v 960]

1. ссылки на этот файл нигде нет, судя по логам обращений к нему тоже не было длительное время - ее знают только участники тестирования и компании, получившие ликтесты после проведения тестирования для того, чтобы они смогли убедиться в правильности тестов (ликтесты тоже не опасны, но их публично никому не раздавали).

2. обращения пошли недавно - вывод риторический, кто-то решил подложить свинью и придумал как

Не думаю, что все так сложно. Видели в этой теме слова сроке в месяц? Вот оно:

-=ОНО=-

Как раз примерно месяц назад... вы своими руками выложили ссылку на этот файл.

Своими руками я скачивал его на свой компьютер и заново заливал на ВТ, но так делал я, а кто-то мог и напрямую...

Итого: ссылка попадает в индексацию и ее видит куча народа. Кто-то перепроверяет на вирустотале или еще где-то там и т.д и т.п (ищите в этой теме пост DiabloNova в котором он описывает вероятный на его взгляд механизм развития бана сайта Олега).

Это была первая моя мысль...

Вторая заключается в том, что как-бэ агава особо ни в чем и не виновата (если я правильно понял), все дело в регистраторе - именно ему ведь поступила абуза?..

Также сомнительно считать что в PublicDomainRegistry сидят одни дураки.

почему сразу дураки? вполне возможно, что получив абузу от уважаемого ресурса (а не от васи пупкина) они поверили, что называется, на слово... ну могли еще на ВТ ссылку глянуть и особо нет резона реверсить что-то, когда 30 АВ орут, что это вирус, так что совсем дураками их назвать нельзя, но и особо умными и компетентными тоже как-то язык не поворачивается...

[Сергей Ильин 1538]

Интересные размышления в тему:

1. ссылки на этот файл нигде нет, судя по логам обращений к нему тоже не было длительное время - ее знают только участники тестирования и компании, получившие ликтесты после проведения тестирования для того, чтобы они смогли убедиться в правильности тестов (ликтесты тоже не опасны, но их публично никому не раздавали).

2. следствие п.п. 1 - кто-то вручную должен был начать компанию по поводу этого сайта и блокировки домена

3. регистратор поступает тупо - "мне пожаловались, я заблокировал" - своих экспертов там явно нет

Мне лично точно кажется подозрительным то, что это случилось именно сейчас, хотя файл лежит уже очень давно (детекты я подозреваю первые появились тоже давно, по крайней мере эвристические). Т.е. написать жалобу можно было очень давно зная про наличие этого файла в открытом доступе.

При желании можно вычислить инициатора такого наезда и показать его на всю индустрию, чтобы было стыдно человеку.

Не нужно иронии. 30 даже "грязных" детектов это показатель при помощи которого можно оперировать репутацией жертвы smile.gif

Можно, конечно! Но тут как раз вопрос встает кому это нужно

[Kapral 311]

Хм... надеюсь эксперименты с наездами на сайт (если они, наезды, реально были) остановятся. и единственным пострадавшим будет Олег

Ну с моей точки зрения у каждого из вендоров, или причастных к АВ-индустрии на ресурсе можно найти что-то аналогичное - безвредное, но попавшее в базы многих вендоров

Кстати многие ли видели в результатах проверки на ВТ столько комментариев?

Причем с наездами?

Что самое интересное большинство наездов слишком предметные (а по результатам вывода ВТ - этой информации нет

[priv8v 960]

При желании можно вычислить инициатора такого наезда и показать его на всю индустрию, чтобы было стыдно человеку

знаете, есть такое негласное правило - девятизнаки (аськи девятизначные) в блек-листы не заносят... также и тут - если это сделал по-приколу/нечаянно (мы еще не пришли к консенсусу о том, с чего это началось ведь??) какой-то вася пупкин, известный только на этом форуме по 20 сообщениям и живет он в деревне около Норильска и перешел в десятый класс, то чего тут показывать на всю индустрию?..

Другое дело, если тут выясниться, что это была рассылка жалоб с почты какого-то антивируса и т.д и т.п, вот тут уже много корма для троллей и им сочувствующим (например, мне)

[Kapral 311]

какой-то вася пупкин, известный только на этом форуме по 20 сообщениям и живет он в деревне около Норильска и перешел в десятый класс, то чего тут показывать на всю индустрию?..

ага-ага. только вот в такого Васю Пупкина как-то мало верится

Хотя и одновременно не верится что Вася Пупкин будут де-анонимизирован

[ANDYBOND 283]

Кто конкретно правильного то, поясните. Правильно блокировать безобидные тестовые утилиты или может быть правильно воровать детект друг у друга? Что именно правильно из этого?

Правильно такие сайты блокировать, правильно реагировать на жалобы на такие сайты, правильно наводить порядок в Интернете, избегая двойных стандартов, и не правильно, когда ЛК призывает к определённым действиям, а потом, и всегда якобы случайно, её отдельные представители жалуются на совершение таких действий в отношении их самих.

Изначально меня эта тема привлекала тем, что я, наконец, увидел, что в России есть хоть один прецедент подобного рода. Наконец. И вместо того, чтобы вести речь об упорядочивании деятельности по такого рода тестированию антивирусов, где используются публичные ресурсы (к счастью, я к этой деятельности АМ никакого отношения не имею, равно как не располагаю информацией, где там что у кого, пусть и тестовое, лежит), вместо признания тем же Зайцевым своей вины в фактически недобросовестном использовании публичных ресурсов, ибо не помню, что б на его сайте было публичное и прямое указание на наличие каких-то тестовых вирусов, вместо этого всего тут звучит, какой плохой хостер, какая зараза регистратор домена, в общем, виноваты все, кроме виновного, а виновного надо пожалеть за умышленные ошибки. Не зря я EICAR упоминал: там столько всего понаписано, в том числе и об отказе от ответственности за вред, который могут принести размещённые там тестовые вирусы, что не остаётся никаких сомнений в том, что то за сайт, каково его содержание и для чего это содержание служит. Я не сказал бы ни слова против гражданина Зайцева, если б на его сайте были бы размещены аналогичные прямые и чёткие указания. Вот тогда, если б такая ситуация, как сейчас обсуждается, всё равно возникла, я бы поддержал гражданина Зайцева в плане правильности и справедливости его такой вот публичной жалобы на действия регистратора домена и не только. Но поскольку тестовые вирусы были размещены на обсуждаемом сайте скрыто, без каких-либо о том предупреждений, я не могу пожалеть виновного и назвать его невиновным, а вот регистратор домена и хостер правы: с сайтами, распространяющими вирусы, надо бороться. И совершенно не имеет значения, кто является владельцем того или иного сайта.