Антивирус посчитал себя вирусом - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Антивирус посчитал себя вирусом

Recommended Posts

AM_Bot

Sophos.pngУ каждого антивируса случаются ложные срабатывания. Плохо, если они приходятся на свои собственные рабочие файлы. Такой курьёз произошёл с антивирусной программой Sophos. Она распознала в некоторых своих файлах наличие вредоноса Shh/Updater-B.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

ну вот, отлично, теперь нас стало больше :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Плохо, если они приходятся на свои собственные рабочие файлы. Такой курьёз произошёл с антивирусной программой Sophos. Она распознала в некоторых своих файлах наличие вредоноса Shh/Updater-B.
В зависимости от настроек, антивирус может либо информировать пользователя об угрозе, либо автоматически удалять заражённые файлы.
Компания Sophos признала факт ложного срабатывания и подчеркнула, что ложные срабатывания бывают у каждого антивируса, так что в этой истории нет ничего необычного.

После такой отмазки у меня не будет ни капли уважения к компании, если они так реально заявили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
После такой отмазки у меня не будет ни капли уважения к компании, если они так реально заявили.

Ложные срабатывания бывают у 100% ав-компаний. Так заявляю я :rolleyes: И где ж тут неправда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
После такой отмазки у меня не будет ни капли уважения к компании, если они так реально заявили.

Дима? Какой отмазки? А что еще нужно было написать? Стандартно: "Да лажа, увы, мы не сильно сами рады, увы у всех бывает..." вроде все в рамках нормы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я один вижу здесь "Мы не умеем подписи, потому удаляем все, что детектируем и можем удалить"? Или вы вообще как-то забыли про то, что файлы с ЭЦП от самого себя можно было бы и пропускать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н

А если они (свои файлы) к примеру заражены? И не потеряли своей подписи.

Почемуто не возможно редактировать. Видимо такой раздел? Хотел добавить:

Такой вариант развития событий возможен?

P/S/ Ха! Само добавилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
А если они (свои файлы) к примеру заражены? И не потеряли своей подписи.

А как "они", допустить могли заражение самого себя? Самозащиты нет вообще? :o

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н
А как "они", допустить могли заражение самого себя? Самозащиты нет вообще?

Не спорю. Но эта функция у некоторых продуктов отключаемая. И не все понимают её суть. Допустим все здесь собравшиеся, конечно понимают.

Я к тому, что антивир, должен конечно проверять все файлы без исключения, по выбранному маршруту. Самозащита, если не ошибаюсь, подразумевает, и восстановление работы отдельных модулей программы от несанкционированного завершения.

В одном из видеообзоров, уважемого мной тестера, наблюдал, как ему удавалось выбить из колеи Emsisoft Anti-Malware.

Способ был, конечно, извращённый, но подействовал эффективно. :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А если они (свои файлы) к примеру заражены? И не потеряли своей подписи.

Дальше можно не читать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н
Или вы вообще как-то забыли про то, что файлы с ЭЦП от самого себя можно было бы и пропускать?

Можно. Но не нужно.

Я таких антивирусных программ не знаю. А вы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Можно. Но не нужно.

Я таких антивирусных программ не знаю. А вы?

Рекомендую почитать что такое ЭЦП и насколько она валидна после изменения файла :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илио́н

ОК! Что Эцп представляю. Самому была нужда пописывать. Для развития усиленно провентилирую.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×