Перейти к содержанию
Александр Соколов

Опять Symantec отличился

Recommended Posts

SBond
Опять WS.Reputation.1

Это всего лишь репутация файла, это не говорит о вредоносе внутри файла. Только лишь то, что многие пользователи(администрация) ей не доверяют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Это всего лишь репутация файла, это не говорит о вредоносе внутри файла. Только лишь то, что многие пользователи(администрация) ей не доверяют.

Расскажите это пользователем нортона которые пытаются скачать winrar.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поясните, что это значит для домохозяйки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Ну скачал я этот файл. А блокировки нет.

MD5: 7ef96213de15127da513778aacc562dc

P.S. хотелось бы, чтобы проверяли на деле, а не удостоверялись всякими вирустоталами и одной сухой теорией.

buratino_detected.PNG

post-12086-1317200261_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Поясните, что это значит для домохозяйки.

3674fc7c47fdt.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Ну скачал я этот файл. А блокировки нет.

MD5: 7ef96213de15127da513778aacc562dc

P.S. хотелось бы, чтобы проверяли на деле, а не удостоверялись всякими вирустоталами и одной сухой теорией.

Шутить изволим ;)

491979d58466bbe49ef974ca2278fb43.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов

Проверил ещё раз :)

e55d8887d7ba7feb51db4b3db08b5e47.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

А у меня нет блокировки. Просьба к товарищам, которые пользуются данным продуктом, проверить реакцию продукта на данный файл.

call_to.PNG

post-12086-1317223550.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Подтверждаю. NIS 18.6.0.29 обнаруживает угрозу и перемещает файл в карантин после завершения загрузки из сети.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Спасибо. Просьба и сюда итоговые результаты запостить, если будут сделаны какие-то определенные выводы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Подтверждаю. NIS 18.6.0.29 обнаруживает угрозу и перемещает файл в карантин после завершения загрузки из сети.

А чего такая устаревшая версия? :rolleyes: Сейчас уже 19.1.1.3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
А чего такая устаревшая версия? :rolleyes: Сейчас уже 19.1.1.3.

В курсе. Сейчас обновлю. :) Сижу не за своим ноутбуком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Вердикт и действия 19.1.1.3 ничем не отличается от 18.6.0.29. По видимому это связано с тем, что используется одни и те же репутационные (защитные) механизмы для оценки и предотвращения потенциальных угроз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

56786732.th.png

Не знаю что это у вас за винрары такие мутные...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ого, винрар платный оказывается... :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

У меня среагировал на MD5 7ef96213de15127da513778aacc562dc

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Не знаю что это у вас за винрары такие мутные...

Ссылки на архиватор у вас различаются ;)

Первый пост: http://rarlab.com/rar/winrar-x64-401ru.exe

Z.E.A.: http://www.rarlab.com/rar/winrar-x64-401ru.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Ссылки на архиватор у вас различаются ;)

Первый пост: http://rarlab.com/rar/winrar-x64-401ru.exe

Z.E.A.: http://www.rarlab.com/rar/winrar-x64-401ru.exe

19481069.png

Ну ну.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

По итогам обсуждения данной темы в Клубе Любителей Симантек всего лишь у одного пользователя произошла блокировка файла, у остальных файл был воспринят как безопасный. Специалисты по данному продукту предполагают, что наличие/отсутствие детекта в данном случае связано с тем, что разных пользователей обслуживают разные сервера Insight. Кроме того, сейчас ведутся работы по внедрению новой облачной технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
У меня среагировал на MD5 7ef96213de15127da513778aacc562dc

Веселье продолжается.

2305049f9714t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Z.E.A., Скажите откуда Вы скачали дистрибутив - http://www.rarlab.com/rar/winrar-x64-401.exe ? Если это так, то это другой файл. Я проверил - NIS его считает безопасным.

Моя версия - файл в первом сообщении, на который реагирует NIS и тот файл, который NIS считает безопасным (например, тот который скачал Z.E.A.) - разные файлы, у них разная контрольная сумма:

Файл из 1-го сообщения - MD5 7ef96213de15127da513778aacc562dc

Файл Z.E.A. - MD5 D2B446D732502620CFC2A21C37B30020

Этим, скорее всего, и объясняется разная реакция NIS у разных пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Специалисты по данному продукту предполагают, что наличие/отсутствие детекта в данном случае связано с тем, что разных пользователей обслуживают разные сервера Insight.

Выделил бред. Точнее - полный бред.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Z.E.A., Скажите откуда Вы скачали дистрибутив - http://www.rarlab.com/rar/winrar-x64-401.exe ? Если это так, то это другой файл. Я проверил - NIS его считает безопасным.

Моя версия - файл в первом сообщении, на который реагирует NIS и тот файл, который NIS считает безопасным (например, тот который скачал Z.E.A.) - разные файлы, у них разная контрольная сумма:

Файл из 1-го сообщения - MD5 7ef96213de15127da513778aacc562dc

Файл Z.E.A. - MD5 D2B446D732502620CFC2A21C37B30020

Этим, скорее всего, и объясняется разная реакция NIS у разных пользователей.

Я приложил скриншот с вычислением MD5 через АВЗ того винрара, который я качал. Всё сходится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×