VirusDetector – бесплатный онлайн-сервис проверки компьютера (beta)

[Зайцев Олег 402]

Сергей Ильин именно это и имел в виду. Если это то надо на него обращать внимание в логе и уточнять насчёт его легальности, а если он находится в базе безопасных, то в логе может быть вообще не виден. Зайцев Олег уже ответил на мой вопрос.

Так дело не только в RADMIN ... огромное количество пользователей не подозревает например, что у них учетка админа без пароля, или весь диск расшарен все на полный доступ (или на чтение - и кто угодно может копировать с ПК что угодно). Это повод для более детального исследования, выходящего за рамки VirusDetector текущей версии, где изучается только карантин.

[alamor 69]

http://virusinfo.info/virusdetector/report...09B5561246D5A97

карантин был обработан 07.04.2013 с тех пор до сих пор нет детекта на явный зловред c:\windows\n0tepad.exe (хотя мульантивирусу есть два детекта). Кибер не посчитал этот файл подозрительным и не отправил в вирлаб или вирлаб не обрабатывает файлы от CyberHelper-a ?

[priv8v 960]

Олег просто вовремя не выплатил зарплату киберу

[Зайцев Олег 402]

Олег просто вовремя не выплатил зарплату киберу

Я предусмотрительно назначил з/п киберу в 0$ - дабы в случае чего можно было бы без проблем удвоить жалование

http://virusinfo.info/virusdetector/report...09B5561246D5A97

карантин был обработан 07.04.2013 с тех пор до сих пор нет детекта на явный зловред c:\windows\n0tepad.exe (хотя мульантивирусу есть два детекта). Кибер не посчитал этот файл подозрительным и не отправил в вирлаб или вирлаб не обрабатывает файлы от CyberHelper-a ?

Ну, не такой он уже и явный ... "зеленая птичка" автоанализатора говорит о том, что зверь в ходе исследований не пожелал проявить злобного поведения. Киберу доступна статистика с ПК, содержащих этот семпл - он висит как процесс и прописан в автозапуск, не маскируется. Негативной истории по семплу тоже нет. Странное имя и местоположение снижает оценку, кое что автоанализ видит, кое что мультиантивирус показывает (но по нему ориентироваться нельзя, так как если взять N антивирусов, то получим в сумме кучу фолсов). Проведя автоанализ и определив уровень подозрительности, "кибер" определил приоритетность обработки как низкую и поставил семпл в очередь на обработку вирлабом. Это не означает, что семпл забыт - кибер нашел и выделил 3 разновидности такого семпла, они уже проходят совместно. Но встречаются редко ... Сейчас рейтинг файла плавает между -2 и -4, т.е. он в минусе, но не очень далек от нуля.

[priv8v 960]

про блокнот еще могу и прикол вспомнить - начинаешь разбирать остатки того что со связок свалилось, а там блокноты, как будто (его иконка). приглядишься - и правда блокноты. А еще на малк0де любят ссылки на блокноты постить... а еще многие не любят пустые формочки на делфях - тот же вируссигн сабмитит...хотя они бывает даже ав-софт подписанный за малварь принимают и в своем архиве выкладывают... а потом вот по таким коллекциям меряют кто больше задетектил...

простите за флуд

[alamor 69]

Зайцев Олег если можно поясните фразу

поставил семпл в очередь на обработку вирлабом.

в моём понимание файл либо посылался в вирлаб либо нет. К какому состоянию относится очередь ?

[Зайцев Олег 402]

Зайцев Олег если можно поясните фразу

в моём понимание файл либо посылался в вирлаб либо нет. К какому состоянию относится очередь ?

Такое понимание неверно, так как слишком простое Во первых отправка семпла может идти не сразу (т.е. файл может быть послан сразу, через несколько часов, дней или недель). Во вторых в случае отправки она может идти с разным приоритетом (что напрямую влияет на обработку - низкоприоритетный семпл может лежать месяцами в вирлабе как некий мусор, высокоприоритетный будет вне очереди вручную изучен аналитиком). В третьих в зависимости от популярности семпла и кучи иных показателей приоритет отправленного семпла может меняться как кибером (т.е. семпл изначально ушел с низким приоритетом, но в случае надобности кибер может попросить приоритетную обработку у вирлаба), так и вирлабом...

Для примера дал этому семплу приоритет, хотя он того не заслуживал.

[vet2006 0]

Само по себе AVZ мне нравится, но вот руки у хозяев никак не добурутся сделать добротное детище.

[alamor 69]

http://virusinfo.info/virusdetector/report...361B5AC5CC610E1

C:\Windows\system32\DRIVERS\klflt.sys

C:\Windows\system32\DRIVERS\klif.sys

кибер не знает можно ли верить подписи Kaspersky Lab ?

репутация ЭЦП:

lol

[Сергей Ильин 1538]

alamor, пофиксили судя по всему. Теперь репутация хорошая у драйверов ЛК.

P.S. Вообще их не должно быть в отчете, так как они должны быть в БД чистых. Видимо драйвера изменялись недавно (что косвенно объясняет запись Файл известен c 23.04.2013)

[Зайцев Олег 402]

alamor, пофиксили судя по всему. Теперь репутация хорошая у драйверов ЛК.

Я не бездействовал, я сразу на капу нажал ©

На самом деле никакой ошибки не было - системе "кибера" в общем случае безразлично, кто производитель файла и чем он подписан. Идет формирование репутации, и в какой-то момент файл признается чистым, еще через некоторое подпись получит статус доверенной. Естественно, этот процесс можно ускорить, принудительно указав репутацию файла или подписи, что и было сделано.

[Сергей Ильин 1538]

Не понимаю как работает Kaspersky Application Advisor. Идем в сервис VirusDetector, берем свежий какой-нибудь пример, вот показательный http://virusinfo.info/virusdetector/report...22004CED4CDBB99

C:\PROGRA~3\Mozilla\addxkzl.dll

MD5=BDE67D29CC01C8E94049F4000D1FA291 , SHA1=CD910A48D98B8F5F8F9D3B18250264089EE85247

KAV: Trojan.Win32.Agentb.aaoe - заметьте, вердикт однозначный, не эвристика никакая. Т.е. файл однозначно плохой и KAV это знает.

Переходим по ссылке под файлом или же ищем по md5 вручную http://whitelist.kaspersky.com/advisor-ru#...049F4000D1FA291

Файл не найден

Запрашиваемый файл отсутствует в нашей базе данных.

Как так? Одна голова не знает, что делает другая?

[Зайцев Олег 402]

Как так? Одна голова не знает, что делает другая?

Ответ в URL - whitelist.kaspersky.com. В текущей версии портал заточен в основном под чистые файлы. В следующей версии будет WL + база зверей

[Сергей Ильин 1538]

С другой стороны сервис же показывает данные некоторым явно нежелательным файлам

http://whitelist.kaspersky.com/advisor-ru#...7A37EB567818957

https://www.virustotal.com/ru/file/c4b27baf...23bb2/analysis/

Взял из отчета http://virusinfo.info/virusdetector/report...FDE7D315B1F4ACA

Получается странная ситуация. По еще недобавленным в базу зверям сайт WL информацию выводит, а как это файл однозначно признается зверем - информация удаляется.

В любом случае ждем новую версию WL, сервис хороший и полезный. Не на VT же постоянно бегать всем

[Зайцев Олег 402]

Получается странная ситуация. По еще недобавленным в базу зверям сайт WL информацию выводит, а как это файл однозначно признается зверем - информация удаляется.

В любом случае ждем новую версию WL, сервис хороший и полезный. Не на VT же постоянно бегать всем

Все просто - выводит по семплам с UDS* детектам ... В новой версии будет подгружена база зверей и все будет как надо.

[alamor 69]

http://virusinfo.info/virusdetector/report...6E8F3F20405C67D

Файл находится в каталоге легитимного ПО (ПО от модема Magafon, сайт ПО)

[Зайцев Олег 402]

http://virusinfo.info/virusdetector/report...6E8F3F20405C67D

Так там вроде все верно - ПО от Мегафон, легитимное. Что-то не так ?

[alamor 69]

Так там вроде все верно - ПО от Мегафон

ошибка в название

ПО от модема Magafon

[Umnik 997]

Magafon

[Зайцев Олег 402]

ошибка в название

Чтобы все работало и без опечаток - так не бывает (текст поправил)

[alamor 69]

http://virusinfo.info/showthread.php?t=141300

http://virusinfo.info/showthread.php?t=141298

http://virusinfo.info/showthread.php?t=141318

http://virusinfo.info/showthread.php?t=141293

Формирование отчёта по карантину шло 13 дней.

http://virusinfo.info/showthread.php?t=137689

Тут карантин загружен

23.04.2013

ответ тоже только сегодня.

Это нормально ?

[Зайцев Олег 402]

http://virusinfo.info/showthread.php?t=141300

http://virusinfo.info/showthread.php?t=141298

http://virusinfo.info/showthread.php?t=141318

http://virusinfo.info/showthread.php?t=141293

Формирование отчёта по карантину шло 13 дней.

http://virusinfo.info/showthread.php?t=137689

Тут карантин загружен

ответ тоже только сегодня.

Это нормально ?

Так это ИИ - думать любит

Теперь серьезно: а сами отчеты были, есть данные ?

Я проверил по логам - по указанным семплам вроде аномалий нет: файл загрузился в пределах расчетного времени, распакован без ошибок. Проблем с анализом не было. Подозреваю, что глюк мог быть в ходе отправки сведений на VI - что-то глюкнуло, и пост не сохранился. А затем, когда произошла регенерация отчета, он успешно обновился. Но с другой стороны - получается, что система кибера соображает, что пост о завершении анализа на VI успешно не опубликован и публикует его - тогда спрашивается, если знал, то почему бездействовал Видимо, есть какой-то сбой в логике принятия решения - сейчас буду искать.

[alamor 69]

http://virusinfo.info/showthread.php?t=131906

http://virusinfo.info/showthread.php?t=131912

http://virusinfo.info/showthread.php?t=132261

Целых полгода думал .

[Зайцев Олег 402]

http://virusinfo.info/showthread.php?t=131906

http://virusinfo.info/showthread.php?t=131912

http://virusinfo.info/showthread.php?t=132261

Целых полгода думал .

Мог бы и больше думать ... оказалось все просто:

1. пользователь вместо запуска скрипта 8 выполняет скрипт 4, затем загружает его через форму загрузки чистых файлов VI, получает ответ со статистикой. А затем его-же (не переделывая !) грузит в VirusDetector. Система видит, что такой файл уже ранее приходил по другому источнику VI и значится, что ответ был дан - как следствие, ответ в виде поста на форум не формируется. И вероятность его формирования крайне маловероятен при любых условиях

2. В момент отправки результатов анализа возникает сбой на стороне VI (перегрузка, сбои на канале и т.п.) в итоге попытка не успешна, но анализ то файла завершен - и повторных попыток не делается. Когда по карантину произойдет некое изменение, будет сделана еще одна попытка.

Сделал исправления:

- если файл уже грузился через форму пополнения базы чистых, а потом его же загрузили в VirusDetector, карантин "переносится" в зону ответственности VirusDetector и ответ публикуется как надо (это и были те самые посты полугодичной давности)

- если возникает сбой при отправке отчета, то через некоторый интервал времени (не более часа) делается повторная попытка его отправки - и так до успешного выполнения операции.

"Застрявших" карантинов было немного, в сумме примерно 20 штук

[alamor 69]

Не понятно, зачем пользователи грузят карантин в обе формы, но интересно другое

пользователь вместо запуска скрипта 8 выполняет скрипт 4

для анализа, получения отчёта и т.д. есть разница выполнять скрипт №4 или скрипт №8 ? Насколько я понимаю вся разница между ними только в том, что в 8-м скрипте AVZ сначала пытается обновить базы.