Перейти к содержанию
Зайцев Олег

Чем чреваты тесты Anti-Malware.ru и VirusTotal

Автор Зайцев Олег, в Общий форум по информационной безопасности

Recommended Posts

Зайцев Олег    402

Зайцев Олег
Опубликовано
Вот что написали VirusBuster:

The "http://z-oleg.com/leaktest.exe" URL returns with the "404 - HTTP not found" error.

Please send us a working link.

У меня ссылка работает, у них-нет. В чем дело?

Мистер Джустису: это сообщение к остальным о вирлабах присоединять не нужно

А я убрал файл от греха ... я же писал выше, что домен блочит тупой автомат, который перепроверяет файлы примерно раз в сутки. И далее критерий типа "файл тетектит более N вендоров и он лежит более M дней"

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано
А я убрал файл от греха

А может кто-то проведет исследование на предмет изменения одного байтика и сбития md5 хеша? Интересно было бы посмотреть на результаты на VT

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано

Увеличиваем размер ликтеста на 1 байт - сразу отваливается 15 антивирусов :lol:

+ not-a-virus.AVTest ---> Trojan-Downloader.Delphi!IK :wacko:

http://www.virustotal.com/file-scan/report...68fb-1312891710

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано

Ну фиг с ними с генериками, но то, что ранее для Symantec было Trojan Horse, а теперь чисто, удивляет. и K7AntiVirus - был троян а стал чист. Значит были конкретные сигнатуры?

+ not-a-virus.AVTest ---> Trojan-Downloader.Delphi!IK

заметьте, это emsisoft своровал детект у икаруса и добавил как раз буквы IK

Emsisoft 5.1.0.8 2011.08.09 Trojan-Downloader.Delphi!IK

...

Ikarus T3.1.1.104.0 2011.08.09 Trojan-Downloader.Delphi

поправлюсь:

хотя наверно не своровал, а в нем есть движок икаруса скорее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

goover    37

goover
Опубликовано
Значит были конкретные сигнатуры?

Файл же не менялся. Dmitriy K только байтик добавил. Почему сигнатуры ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Файл же не менялся. Dmitriy K только байтик добавил. Почему сигнатуры ?

а вот такие тупые сигнатуры, по хешу похоже

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Aviralover    10

Aviralover
Опубликовано

strat'y: цитата::

поправлюсь:

хотя наверно не своровал, а в нем есть движок икаруса скорее

У emsisoft'а движок икаруса не ворованный, и даже не скорее движок от икаруса, а он и есть - лицензионный.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Z.E.A.    190

Z.E.A.
Опубликовано
Ну фиг с ними с генериками, но то, что ранее для Symantec было Trojan Horse, а теперь чисто, удивляет.

Потому что я зарепортил им как фолс.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DiabloNova    175

DiabloNova
Опубликовано

Я бы еще понял, если бы эта программа содержала какой-то полезный функционал или проблема блокировки домена не была бы решена либо не решалась без снятия детектов. Но тут то что за, как правильно сказали раньше, флешмоб? :) Такое бы рвение да каждый раз на рассылку реальной малвари. Держите тот же самый leaktest (100% функционала сохранено) с нулем детектов на VT (отвалились детекты по а) хеш файла, б) размер файла, в) детект по контрольной сумме строк, г) детект по набору параметров). Полминуты работы и две минуты набить этот пост.

http://www.virustotal.com/file-scan/report...023e-1312898301

Кому надо ехе пишите в личку :D

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ntoskrnl    155

ntoskrnl
Опубликовано

До кучи.

От кого: Comodo Antivirus Lab <info@avlab.comodo.com>

Дата: Вт 09 Авг 2011 17:12:20

Тема: False Positive submission

--------------------------

Hello,

This is to inform you that the sample you have provided was checked and

was not confirmed to be a False Positive. The detection naming for the

sample you have submitted as False Positive will be changed to

"Application.Win32.AVTest.~A" .

Best regards,

Florin Gogoseanu

Comodo Antivirus Lab

Кстати, ответ пришел минут через пять.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

StarStream    55

StarStream
Опубликовано
поправлюсь: хотя наверно не своровал

Не наверное, а так и есть: "...combination of two world class products - the Emsisoft Anti-Malware, and the Ikarus Anti-Virus engine" _http://www.emsisoft.com/en/software/antimalware/_

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Виталий Я.    859

Виталий Я.
Опубликовано
До кучи.

Кстати, ответ пришел минут через пять.

Так Comodo же по внутриюзеркомьюнитевскому "VirusTotal" чужие детекты собирают.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RuJN    20

RuJN
Опубликовано

Dmitriy K,

QuickHeal раньше детектил, см. отчет в первом посте.

Symantec сообщили что запрос создан.

K7: сообщили,что ссылка не работает, отправил им файл.

Sophos:

[i[Hello,

The recognized test file that Sophos use is the eicar test file.

If you have any other questions please let me know, otherwise I will close this case in three days time.

Regards,

Andrew Kellagher

Sophos Technical Support

http://www.sophos.com/support/services/technical.html

Support knowledgebase: http://www.sophos.com/support

Subscribe to email notifications: http://www.sophos.com/security/notifications

SophosTalk community (discussion forums): http://community.sophos.com

SOPHOS - simply secure

-----Original Message-----

Sent: 2011-08-09 11:22 AM

To: supportuk@Sophos.com,

Cc:

I think it should be detected as AV-TEST, because your threat name makes it difficult to understand what it is.

08.08.2011, 17:50, "Sophos Support" :

> Hi

>

> thank you for your email. The file leaktest.exe that you sent to us for analysis appears to be a test file for anti-virus software. It displays the popup 'Virus demo stub for AV test'. We will continue to detect this as Mal/Generic-L and we are not the only vendor to detect this file. Please do not hesitate to contact me if I can be of any further assistance.

>

> Regards,

>

> Martin Elliott

> Sophos Technical Support

> http://www.sophos.com/support/services/technical.html

>

> Support knowledgebase: http://www.sophos.com/support

> Subscribe to email notifications: http://www.sophos.com/security/notifications

> SophosTalk community (discussion forums): http://community.sophos.com

>

> SOPHOS - simply secure

>

> -----Original Message-----

>

> Sent: 2011-08-08 02:33 PM

> To: supportuk@Sophos.com,

> Cc:

> The thing is it is a false posotive.

>

> 08.08.2011, 16:22, "Sophos Support" :

>> Hello,

>>

>> Thank you for contacting Sophos Technical Support.

>>

>> **Please note that this is an automated response. If you have any questions, require assistance or clarification on this analysis, please feel free to reply to this email quoting this case number in the subject line.**

>>

>> The file(s) below are already detected with the latest version of Sophos Anti-Virus and the latest IDE definitions.

>>

>> * leaktest.exe -- already detected

>>

>> Please update Sophos Anti-Virus,and run a Full System Scan to clean up this threat.

>>

>> ---

>> To create a new Full System Scan to clean up threats

>>

>> * You should turn off System Restore before running a Full System Scan. Go to Start > Control Panel > Performance and Maintenance. Double-click System and then select the System Restore tab. Select the Turn off System Restore on all drives checkbox, then click Apply and then Yes.

>> * Right click the blue Sophos shield on the taskbar and choose "Open Sophos Anti-Virus"

>> * Click on "Scans". Give the scan a name, ensure you have checkmarked all of the local hard drives and removable drives under My Computer and click on "Configure this scan" at the bottom.

>> * On the Options tab, ensure that Scanning level is set to "Normal (recommended)". Under Scanning options, ensure that "Scan all files", "Scan for adware/PUAs", "Scan for suspicious files" and "Scan for rootkits" are checkmarked.

>> * Click on the Cleanup tab. Ensure that "Automatically clean up items that contain virus/spyware" is checkmarked and the two radio buttons are set to "Deny access only" (which actually means to leave the virus there, but block all access to it if cleanup fails). Checkmark "Automatically clean up adware/PUAs" and click OK.

>> * Click on "Save and Start". Reboot the computer once the scan completes.

>> * Once the computer is available, please repeat the scan to ensure a full cleanup.

>>

>> ---

>>

>> Alternatively, you can create a Sophos Bootable Anti-Virus CD and scan the machine from the bootable environment. Please contact Sophos Technical Support for information on how to obtain this tool and if it's appropriate for you.

>>

>> Please do not hesitate in contacting us by replying to this email if you have any questions or concerns.

>>

>> Kind regards,

>>

>> Sophos Technical Support Support

>> knowledgebase: http://www.sophos.com/support

>> Subscribe to email notifications: http://www.sophos.com/security/notifications

>>

>> New! SophosTalk community (discussion forums): http://community.sophos.com

>>

>> SOPHOS - simply secure[/i]

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RuJN    20

RuJN
Опубликовано
До кучи.

Кстати, ответ пришел минут через пять.

как вы им отправляли? мне вообще не ответили.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ak_    395

ak_
Опубликовано
На нашем сайте в разделе утилит выложена лечилка FunLove. Детектируется пачкой говно/фейк-АВ - http://www.virustotal.com/file-scan/report...a7dd-1312730074.

Можете вычеркнуть Авиру из списка. http://www.virustotal.com/file-scan/report...a7dd-1312910296

А почему "фейк-АВ", ведь сами же пишете:

Утилита KLAntiFunLove не содержит вредоносного функционала.

Но она ошибочно детектируется некоторыми сторонними антивирусными продуктами как вредоносная по причине того, что содержит внутри себя сигнатуры для обнаружения вредоносной программы FunLove.

Есть сигнатуры вируса - есть детект. Должно детектиться автоматически а в исключения вноситься вручную, как я понимаю.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано
Кстати, ответ пришел минут через пять.

Похоже на ответ робота на базе проверки по VT :lol: Если снять почти все детекты и отправить им еще раз, то будет забавно, если снимут и признаю фолс :)

Вот тут фотки уже не новые, тут я руки качал месяц. Сейчас я всё круче и круче.

Ничего так, хорошо поработал, только против травмата и/или шокера не аргумент. А дальше можно тебя брать тепленького и работать по плану :lol:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано
Вот что написали VirusBuster:
:facepalm:

он его не детектирует

проверяли бы вы файлы перед отправкой на анализ

Dmitriy K,

QuickHeal раньше детектил, см. отчет в первом посте.

Cherna-facepalm.gif

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Mr. Justice    771

Mr. Justice
Опубликовано

оффтопик перемещен >>>

Флейм уделен. Будут попытки троллинга - будет моментальный бан (премодерация) без всяких предупреждений и уговоров. Тоже самое касается публичного обсуждения действий модератора.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RuJN    20

RuJN
Опубликовано

G DATA:

Dear G Data Customer,

The file you submitted is an Antivirus test file (very similar to the EICAR test file [1]) which does not contain any malicious routines.

Therefore, detection will not be removed.

[1] www.eicar.org

Please add all former correspondence when replying to this email.

Kind regards,

Tim Berghoff

Business & Customer Support

K7:

Greetings of the Day.

The file which you send to us has been added in white list.

The file shouldn’t be detected by the K7 product any more.

Kindly check with the file & let us know the status.

Thank you for Contacting k7 Technical Support

Regards

M.Mohamed Feroze Khan

Tech Support Engineer – K7 Computing

K7 Computing| www.k7computing.com

India

Может еще кто-то отвечал, не помню.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано
Файл лежал в открытом доступе. Это так. С файлом не шло абсолютно никакого описания. Детекты передаются по цепочке. Нет описания - в файле присутствует Av Test, большинство и задетектили как AVTest.
echo AVTest

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Z.E.A.    190

Z.E.A.
Опубликовано

Раз уж тут ото всех постят, то вот ответ Симантек:

We are writing in relation to your submission through Symantec's on-line Security Risk / False Positive Dispute Submission form for your software being detected by Symantec Software. In light of further investigation and analysis Symantec is happy to remove this detection from within its products.

The updated detection will be distributed in the next set of virus definitions, available daily, or weekly via LiveUpdate, depending on Symantec product version, or daily from our website at

http://securityresponse.symantec.com/avcen...s.download.html.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано

Некоторые вендоры не удаляют запись из баз, а вносят в белые списки по хешу?

Проверка измененного файла 09.08.2011 - 12/43

http://www.virustotal.com/file-scan/report...68fb-1312891710

Проверка измененного файла 13.08.2011 - 19/43

http://www.virustotal.com/file-scan/report...68fb-1313233011

Прогресс :P

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RuJN    20

RuJN
Опубликовано
Некоторые вендоры не удаляют запись из баз, а вносят в белые списки по хешу?

Вроде да, мне об этом вроде бьы некоторые вендоры писали или где-то тут видел

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.9.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
    • ArktiTig
      Красивая арктика

      От ArktiTig · Опубликовано

      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      uVS - Тестирование

      От ArktiTig · Опубликовано

      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
×