Чем чреваты тесты Anti-Malware.ru и VirusTotal

[EVIK5 5]

Ответ от вирлаба ЕСЕТА

Thank you for your submission.

It is a false positive of our scanner and this issue will be fixed in our next signature update.

Так что явный фолс все таки уберут.

Не, этот лайк тест как минимум, потенциально нежелательные приложения.

Potentially unwanted applications – Potentially unwanted applications are not necessarily intended to be malicious, but they may affect the performance of your computer in a certain way. Such applications usually require consent for installation. If they are present on your computer, your system behaves differently (compared to the state before their installation). The most significant changes are:

· New windows you haven’t seen previously are opened

· Activation and running of hidden processes

· Increased usage of system resources

· Changes in search results

· Application communicates with remote servers

Potentially unsafe applications – Potentially unsafe applications is the classification used for commercial, legitimate software. It includes programs such as remote access tools, password-cracking applications, and keyloggers (programs recording each keystroke typed by a user). This option is disabled by default.

Отредактировал Август 8, 2011 EVIK5

[RuJN 20]

В базе 6360 детект убран!

Не понял.

[Сергей Ильин 1538]

1. есть проблема широких эвристических детектов, которые тырят друг у друга кто попало. Соответственно программа сразу начинает признаваться "большинством" вредоносной и без экспертизы принять решение о вредоносности нельзя.

Говорю, надо писать статью на ThreatPost "Как антивирусные вендоры тырят ложные срабатывания друг у друга"

[akoK 75]

Говорю, надо писать статью на ThreatPost "Как антивирусные вендоры тырят ложные срабатывания друг у друга"

Уже подобное было.

[OlegAndr 236]

Кто тут проводил тест на скорость работы вирлабов? Вот он прямо в чистом виде -)))

[ntoskrnl 155]

ntoskrnl, я говорю о сложившейся практике. Вы думаете, что в практике такие случаи не редкость и для Олега сделают исключение? Полагаю, что ему предложат согласиться со стандартными условиями с формулировкой: "не хочешь -не ешь". Согласен с Вами, попросить, конечно, можно, но будет ли нужный результат, вот в чем вопрос. Я, естественно, могу ошибаться, ибо сотрудникам агавы мозг не сканировал .

А я как раз говорю не о сложившейся практике, а о соображениях, как избегать таких ситуаций. Откажет конкретный хостинг в составлении особого договора - не беда, их пруд пруди.

Нет, конечно, я лишь указал на терминологическую некорректность Вашей формулировки.

Это не некорректность, а упрощение в рамках форума. "Повод" - это сообщение о правонарушении, а "основания" - установленные, в т.ч. проверкой сообщения, факты, содержащие признаки правонарушения. В данном случае речь как раз и идёт и о сообщении о возможном правонарушении, и о сообщении о фактической стороне ("у меня, мол, файл, его детектят антивирусы, а эти гады мне заблокировали хостинг", если сильно утрировать). Поэтому я говорю о возникновении оснований, в том числе, даже если они должны будут пройти необходиую процедуру. А непосредственно установление события правонарушения возиожно уже и в рамках расследования после возбуждения дела на основании фактов, содержащих признаки правонарушения. По крайней мере, гадать, является список детектов с вирустотала достаточным основанием для конкретного работника прокуратуры, я не буду, а проверять никому не советую.

Я думаю сейчас не имеет значения какие это будут органы. Повторю, что я не имел в виду именно прокуратуру.

Ок. Только помним, что эти "органы" уже в свою очередь могут обратиться в прокуратуру или органы внутренних дел со своими подозрениями.

Я не спорю с тем, что гораздо проще убрать сомнительный контент с сайта, если это приведет к оперативному решению проблемы, но при этом рассматриваю и другие варианты ее решения.

Не просто "гораздо проще", а, вполне возможно, что это обязанность по договору. А уже потом можно рассылать письма вендорам, мол "офонарели шоля". А рассматривать другие варианты мне лично сложно, не видя документов.

[zloyDi 15]

Не понял.

Это значит что в данной базе детекта уже нет.

[Сергей Ильин 1538]

Откажет конкретный хостинг в составлении особого договора - не беда, их пруд пруди.

Мне понравилась идея об особом договоре. Как-то раньше не думал на эту тему, но ведь действительно, у нас такая тема, что могут быть неоднозначные ситуации, как с сайтов Олега Зайцева. Тогда правильнее заранее определить особые условия, что, скажем, хостер не будет блочить сайт при наличии блокировки какого-либо файла на нем Антивирусом Петрова/Максимова и т.п., а будет полагаться на его анализ с использование оговоренных средств или же ориентироваться на вердикты уважаемых компаний (список по согласованию).

[Mr. Justice 771]

А я как раз говорю не о сложившейся практике, а о соображениях, как избегать таких ситуаций. Откажет конкретный хостинг в составлении особого договора - не беда, их пруд пруди.

Не факт что с другими будет по другому, но если за "эксклюзивные" условия предложить "эксклюзивную" оплату, то может быть и получится. Это, наверное, уже вопрос не права, а торга.

Это не некорректность, а упрощение в рамках форума.

Ясно. Прошу прощения за придирчивость.

Ок. Только помним, что эти "органы" уже в свою очередь могут обратиться в прокуратуру или органы внутренних дел со своими подозрениями.

Если рассуждать в таком контексте, то да, такой вариант развития событий очень даже возможен.

А рассматривать другие варианты мне лично сложно, не видя документов.

Полностью согласен с этим. "Вслепую" это делать очень сложно.

ntoskrnl, если я правильно понял, на данный момент, у нас с Вами нет серьезных разногласий в правовой оценке ситуации.

[RuJN 20]

Это значит что в данной базе детекта уже нет.

Все равно не понял, при чем 9 тыс вирусов?

Кстати, детектов меньше: http://www.virustotal.com/file-scan/report...c985-1312827167

В многие вирлабы отослал как фолс, жду ответа, тут отпишусь

[RuJN 20]

http://www.virustotal.com/file-scan/report...c985-1312831208

Ха, Prevx сдетектил как Medium Risk Malware.

Интересно, их облако мониторит ВирусТотал и автоматически ставит малварь среднего риска на все, что хорошо на ВТ детектится?

Ответы вирлабов:

Dear Hauri customer,

This is to notify that the analysis on your submitted sample was completed as below.

Your submitting information helps improve the malicious code analysis.

We will do our best to give you faster response and protect you against any threat.

HAURI Inc.

No

File Info

Virus Name

Engine Ver.

Result

1

leaktest.exe (39.0 KB)

Spyware.Avtest.39936

2011-08-08.03

Complete

Сегодня немного поржал - ответ от QuickHeal:

Hi,

Thanks for sending files and communicating us.

Found malicious code inside the sent files.

Solution for the same will be uploaded in today's daily update.

Regards

Mahesh

Ответ от Fortinet:

Dear Customer,

Thank you for submitting your sample to Fortinet. The sample should already be detected as W32/AVtest.AA!tr

Best Regards,

AV Lab - msu

От Panda:

Dear customer,

The file is an AV test, the detection cannot be deactivated.

Best regards, JM.

Best regards,

PandaLabs

Prevx:

Hi

Could you please upload this file to http://www.virustotal.com/ and then send us the virus report url so we can use the information on this to review the file.

Thank you for alerting us to this.

Kind Regards,

Prevx Support

Обнаглели наши вирлабы...

[kmd 20]

RuJN

Чего то я не могу понять, что вы хотите добиться? Убрать все детекты? Не выйдет. Детекты AvTest вполне нормальны. Единственное, что не все там подписали - not a virus, ну так это особенности каждого продукта.

Автору пустышки, на которую так нервно реагируют АВ, следовало убрать ее из свободного доступа (добавить описание, заархивировать с паролем - что угодно) сразу как пришла первая жалоба (т.е. по его же словам в июне), а не ждать когда гнянет гром. А так тут какой-то бессмысленный флуд и флейм.

Добавлю.

Флешмоб который устроили русскоязычные деятели на вирустотал ни к чему положительному не приведет:

1. Вы только показываете свой низкий уровень культуры

2. Ваши голоса как анонимов не учитываются рейтинговой системой, так что наскальные надписи, не понятные никому кроме авторов, бессмысленны в принципе.

[Mr. Justice 771]

RuJN

Чего то я не могу понять, что вы хотите добиться? Убрать все детекты?

Помочь Олегу Зайцеву, тем чем может.

Не выйдет.

Как это не выйдет? Читайте внимательно тему - убирают же и признаются, что сфолсили.

Детекты AvTest вполне нормальны.

Для нормального человека они ненормальны. Когда безвредную программу называю трояном - это называется фолс. И фолсы уже исправляют.

Единственное, что не все там подписали - not a virus, ну так это особенности каждого продукта.

Это не особенности. Это фолсы. Not a virus и Trojan - это, мягко говоря, разные вещи.

Автору пустышки, на которую так нервно реагируют АВ, следовало убрать ее из свободного доступа (добавить описание, заархивировать с паролем - что угодно) сразу как пришла первая жалоба (т.е. по его же словам в июне), а не ждать когда гнянет гром. А так тут какой-то бессмысленный флуд и флейм.

Бессмысленный флейм и флуд устроили здесь вы.

Добавлю.

Флешмоб который устроили русскоязычные деятели на вирустотал ни к чему положительному не приведет:

1. Вы только показываете свой низкий уровень культуры

2. Ваши голоса как анонимов не учитываются рейтинговой системой, так что наскальные надписи, не понятные никому кроме авторов, бессмысленны в принципе.

Добавлю. Если еще раз такое увижу - забаню без предупреждений. АМ - не место для выяснения отношений. Пишите подобные "опусы" там, а не здесь.

[kmd 20]

Помочь Олегу Зайцеву, тем чем может.

Извините, но это был вопрос не вам.

Как это не выйдет? Читайте внимательно тему - убирают же и признаются, что сфолсили.

Это не особенности. Это фолсы. Not a virus и Trojan - это, мягко говоря, разные вещи.

Объясняю свою позицию.

Файл представляет собой пустышку, выводящую сообщение о том, что он демо файл для АВ. Это так. Файл безвреден. Да.

Файл лежал в открытом доступе. Это так. С файлом не шло абсолютно никакого описания. Детекты передаются по цепочке. Нет описания - в файле присутствует Av Test, большинство и задетектили как AVTest.

Я нигде не писал, что Trojan, Trojan Horse и прочее это нормально. Разумеется нет и вот они то как раз и являются фолсами. Убрать все AVTest сейчас - даже трудно представить, что для этого потребуется.

Бессмысленный флейм и флуд устроили здесь вы.

Аргументируйте свое заявление.

[Mr. Justice 771]

Извините, но это был вопрос не вам.

kmd, поймите это форум, а не личная переписка. Я пообщался с RuJN и, думаю, правильно понял чего он добивается. Человек старается помочь тем чем может. Может быть кому-то покажется, что это все не нужно или у него "коряво" получается. Это неважно. Важно то, что он не делает ничего плохого и желает помочь Олегу. Если RuJN, по вашему мнению, делает что-то неправильно, подскажите ему как нужно сделать. Он тратит свое личное время на то, чтобы оказать содействие своими силами человеку попавшему в беду. Я бы за одно желание помочь поблагодарил его. Хорошо, пусть будет так - дождемся ответа RuJN.

Объясняю свою позицию.

Файл представляет собой пустышку, выводящую сообщение о том, что он демо файл для АВ. Это так. Файл безвреден. Да.

Файл лежал в открытом доступе. Это так. С файлом не шло абсолютно никакого описания. Детекты передаются по цепочке. Нет описания - в файле присутствует Av Test, большинство и задетектили как AVTest.

Я нигде не писал, что Trojan, Trojan Horse и прочее это нормально. Разумеется нет и вот они то как раз и являются фолсами. Убрать все AVTest сейчас - даже трудно представить, что для этого потребуется.

Теперь все ясно. Простите, в начале не совсем понял Вашу позицию по проблеме. Вот то, что " детекты передаются по цепочке" это очень плохо. Об этом уже не раз писали выше.

Аргументируйте свое заявление.

Простите меня за грубость и несправедливость. Сорвался. Мне самому нужно стараться следовать своему же совету >>>

[strat 275]

Файл представляет собой пустышку, выводящую сообщение о том, что он демо файл для АВ. Это так. Файл безвреден. Да.

Файл лежал в открытом доступе. Это так. С файлом не шло абсолютно никакого описания. Детекты передаются по цепочке. Нет описания - в файле присутствует Av Test, большинство и задетектили как AVTest.

Он не должен вообще детектироваться насколько я понимаю. Иначе должны детектироваться любые программы выводящие сообщения.

Прочитаем внимательно описания теста из-за которого все началось http://www.anti-malware.ru/comparisons/emu_antivirus

Самый первый образец:

Тестовый образец Описание

sample Базовый пример. Реализует "лобовую" загрузку файла http://z-oleg.com/leaktest.exe, после чего запускает его. Загрузка ведется через URLDownloadToFile, запуск – ShellExecute.

Т.е. детект должен был быть на sample, а если детекта не было, то образец должен был загрузить этот leaktest и выполнить его, соответственно по наличию всплывающего окна принималось решение о прохождении теста. Никакой вердикт кроме - ЧИСТ! неприемлем для данного файла даже все avtest и generic. ИМХО.

[kmd 20]

А вот это уже интересно, спасибо за разьяснение.

Т.е., грубо выражаясь, это пыстушка - payload. Такой вопрос, а \"sample\" на VT проверяли? И если да, можно посмотреть результаты?

Это к тому как можно было: во-первых, узнать точный адрес leaktest.exe, ведь всем известно, что файлы с VT доступны АВ компаниям, а во-вторых откуда столько детектов (если брали как связку, например).

[ANDYBOND 283]

ANDYBOND

Не флейма ради, сугубо личный вопрос -- если бы подобная ситуация случилась с каким-то другим ресурсом, например, относящемуся к Symantec, были бы Вы столь же многоречивы в своих обвинительных интонациях или сделали бы вид, что никакой крамолы нет?

Извините, сразу не обратил внимание на вопрос. Думаю, мои сообщения в этой теме уже весьма красноречиво показали общность моих подходов в таких случаях независимо от вендора. Я не давал кому-либо обязательств не высказывать своё мнение, подменяя его неким "правильным" мнением.

[RuJN 20]

kmd ,

Я хочу добится того, чтобы обычным тетенькам с базара было понятно, что это не вирус, а тестовый файл. То есть либо все его детектят как АВ ТЕСТ, либо никто не детектит. Сейчас же некотрые детектят эвристикой либо не эвристикой как страшного трояна.

Mr. Justice,

Спасибо за поддержку!

[RuJN 20]

Вот что написали VirusBuster:

The "http://z-oleg.com/leaktest.exe" URL returns with the "404 - HTTP not found" error.

Please send us a working link.

У меня ссылка работает, у них-нет. В чем дело?

Мистер Джустису: это сообщение к остальным о вирлабах присоединять не нужно

[OlegAndr 236]

Дааааа, написано avtest, вот его и детектят как EICAR, было бы написано leak test- может и не стали бы.

Предлагаю в коде писать "leak test, supposed to be run, please do not detect"

К тому же полагаю задетектили какой нить md5, так что можно сбить детект.

[RuJN 20]

Я не понимаю, почему Олег не удалит файл с сайта? для пиара?

[RuJN 20]

Как отправить вирус в Antiy?

[RuJN 20]

QuickHeal одумались, после того, как я им написал о том, что файл то на самом деле не вредоносный:

Dear Sir,

Thank you for submitting the files.

False from the sent files will get removed in next update.

In case of any difficulty, feel free to revert back to us.

Regards,

-Rahul

[Dmitriy K 603]

Вот что написали VirusBuster:

он его не детектирует

проверяли бы вы файлы перед отправкой на анализ