Перейти к содержанию
Сергей Ильин

VirusDetector – бесплатный онлайн-сервис проверки компьютера (beta)

Recommended Posts

Зайцев Олег
Сергей Ильин именно это и имел в виду. Если это то надо на него обращать внимание в логе и уточнять насчёт его легальности, а если он находится в базе безопасных, то в логе может быть вообще не виден. Зайцев Олег уже ответил на мой вопрос.

Так дело не только в RADMIN ... огромное количество пользователей не подозревает например, что у них учетка админа без пароля, или весь диск расшарен все на полный доступ (или на чтение - и кто угодно может копировать с ПК что угодно). Это повод для более детального исследования, выходящего за рамки VirusDetector текущей версии, где изучается только карантин.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

http://virusinfo.info/virusdetector/report...09B5561246D5A97

карантин был обработан 07.04.2013 с тех пор до сих пор нет детекта на явный зловред c:\windows\n0tepad.exe (хотя мульантивирусу есть два детекта). Кибер не посчитал этот файл подозрительным и не отправил в вирлаб или вирлаб не обрабатывает файлы от CyberHelper-a ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Олег просто вовремя не выплатил зарплату киберу :o

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег просто вовремя не выплатил зарплату киберу :o

Я предусмотрительно назначил з/п киберу в 0$ - дабы в случае чего можно было бы без проблем удвоить жалование :)

http://virusinfo.info/virusdetector/report...09B5561246D5A97

карантин был обработан 07.04.2013 с тех пор до сих пор нет детекта на явный зловред c:\windows\n0tepad.exe (хотя мульантивирусу есть два детекта). Кибер не посчитал этот файл подозрительным и не отправил в вирлаб или вирлаб не обрабатывает файлы от CyberHelper-a ?

Ну, не такой он уже и явный ... "зеленая птичка" автоанализатора говорит о том, что зверь в ходе исследований не пожелал проявить злобного поведения. Киберу доступна статистика с ПК, содержащих этот семпл - он висит как процесс и прописан в автозапуск, не маскируется. Негативной истории по семплу тоже нет. Странное имя и местоположение снижает оценку, кое что автоанализ видит, кое что мультиантивирус показывает (но по нему ориентироваться нельзя, так как если взять N антивирусов, то получим в сумме кучу фолсов). Проведя автоанализ и определив уровень подозрительности, "кибер" определил приоритетность обработки как низкую и поставил семпл в очередь на обработку вирлабом. Это не означает, что семпл забыт - кибер нашел и выделил 3 разновидности такого семпла, они уже проходят совместно. Но встречаются редко ... Сейчас рейтинг файла плавает между -2 и -4, т.е. он в минусе, но не очень далек от нуля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

про блокнот еще могу и прикол вспомнить - начинаешь разбирать остатки того что со связок свалилось, а там блокноты, как будто (его иконка). приглядишься - и правда блокноты. А еще на малк0де любят ссылки на блокноты постить... а еще многие не любят пустые формочки на делфях - тот же вируссигн сабмитит...хотя они бывает даже ав-софт подписанный за малварь принимают и в своем архиве выкладывают... а потом вот по таким коллекциям меряют кто больше задетектил...

простите за флуд :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Зайцев Олег если можно поясните фразу

поставил семпл в очередь на обработку вирлабом.

в моём понимание файл либо посылался в вирлаб либо нет. К какому состоянию относится очередь ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег если можно поясните фразу

в моём понимание файл либо посылался в вирлаб либо нет. К какому состоянию относится очередь ?

Такое понимание неверно, так как слишком простое :) Во первых отправка семпла может идти не сразу (т.е. файл может быть послан сразу, через несколько часов, дней или недель). Во вторых в случае отправки она может идти с разным приоритетом (что напрямую влияет на обработку - низкоприоритетный семпл может лежать месяцами в вирлабе как некий мусор, высокоприоритетный будет вне очереди вручную изучен аналитиком). В третьих в зависимости от популярности семпла и кучи иных показателей приоритет отправленного семпла может меняться как кибером (т.е. семпл изначально ушел с низким приоритетом, но в случае надобности кибер может попросить приоритетную обработку у вирлаба), так и вирлабом...

Для примера дал этому семплу приоритет, хотя он того не заслуживал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vet2006

Само по себе AVZ мне нравится, но вот руки у хозяев никак не добурутся сделать добротное детище.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

http://virusinfo.info/virusdetector/report...361B5AC5CC610E1

C:\Windows\system32\DRIVERS\klflt.sys

C:\Windows\system32\DRIVERS\klif.sys

кибер не знает можно ли верить подписи Kaspersky Lab ?

репутация ЭЦП: nr.png

lol

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

alamor, пофиксили судя по всему. Теперь репутация хорошая у драйверов ЛК.

P.S. Вообще их не должно быть в отчете, так как они должны быть в БД чистых. Видимо драйвера изменялись недавно (что косвенно объясняет запись Файл известен c 23.04.2013)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
alamor, пофиксили судя по всему. Теперь репутация хорошая у драйверов ЛК.

Я не бездействовал, я сразу на капу нажал :) ©

На самом деле никакой ошибки не было - системе "кибера" в общем случае безразлично, кто производитель файла и чем он подписан. Идет формирование репутации, и в какой-то момент файл признается чистым, еще через некоторое подпись получит статус доверенной. Естественно, этот процесс можно ускорить, принудительно указав репутацию файла или подписи, что и было сделано.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Не понимаю как работает Kaspersky Application Advisor. Идем в сервис VirusDetector, берем свежий какой-нибудь пример, вот показательный http://virusinfo.info/virusdetector/report...22004CED4CDBB99

C:\PROGRA~3\Mozilla\addxkzl.dll

MD5=BDE67D29CC01C8E94049F4000D1FA291 , SHA1=CD910A48D98B8F5F8F9D3B18250264089EE85247

KAV: Trojan.Win32.Agentb.aaoe - заметьте, вердикт однозначный, не эвристика никакая. Т.е. файл однозначно плохой и KAV это знает.

Переходим по ссылке под файлом или же ищем по md5 вручную http://whitelist.kaspersky.com/advisor-ru#...049F4000D1FA291

Файл не найден

Запрашиваемый файл отсутствует в нашей базе данных.

Как так? Одна голова не знает, что делает другая? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Как так? Одна голова не знает, что делает другая? :rolleyes:

Ответ в URL - whitelist.kaspersky.com. В текущей версии портал заточен в основном под чистые файлы. В следующей версии будет WL + база зверей

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

С другой стороны сервис же показывает данные некоторым явно нежелательным файлам

http://whitelist.kaspersky.com/advisor-ru#...7A37EB567818957

https://www.virustotal.com/ru/file/c4b27baf...23bb2/analysis/

Взял из отчета http://virusinfo.info/virusdetector/report...FDE7D315B1F4ACA

Получается странная ситуация. По еще недобавленным в базу зверям сайт WL информацию выводит, а как это файл однозначно признается зверем - информация удаляется.

В любом случае ждем новую версию WL, сервис хороший и полезный. Не на VT же постоянно бегать всем :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Получается странная ситуация. По еще недобавленным в базу зверям сайт WL информацию выводит, а как это файл однозначно признается зверем - информация удаляется.

В любом случае ждем новую версию WL, сервис хороший и полезный. Не на VT же постоянно бегать всем :)

Все просто - выводит по семплам с UDS* детектам ... В новой версии будет подгружена база зверей и все будет как надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Так там вроде все верно - ПО от Мегафон, легитимное. Что-то не так ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Так там вроде все верно - ПО от Мегафон

ошибка в название

ПО от модема Magafon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Magafon

q86Jq6azmDU.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
ошибка в название

Чтобы все работало и без опечаток - так не бывает :) (текст поправил)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

http://virusinfo.info/showthread.php?t=141300

http://virusinfo.info/showthread.php?t=141298

http://virusinfo.info/showthread.php?t=141318

http://virusinfo.info/showthread.php?t=141293

Формирование отчёта по карантину шло 13 дней.

http://virusinfo.info/showthread.php?t=137689

Тут карантин загружен

23.04.2013

ответ тоже только сегодня.

Это нормально ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
http://virusinfo.info/showthread.php?t=141300

http://virusinfo.info/showthread.php?t=141298

http://virusinfo.info/showthread.php?t=141318

http://virusinfo.info/showthread.php?t=141293

Формирование отчёта по карантину шло 13 дней.

http://virusinfo.info/showthread.php?t=137689

Тут карантин загружен

ответ тоже только сегодня.

Это нормально ?

Так это ИИ - думать любит :)

Теперь серьезно: а сами отчеты были, есть данные ?

Я проверил по логам - по указанным семплам вроде аномалий нет: файл загрузился в пределах расчетного времени, распакован без ошибок. Проблем с анализом не было. Подозреваю, что глюк мог быть в ходе отправки сведений на VI - что-то глюкнуло, и пост не сохранился. А затем, когда произошла регенерация отчета, он успешно обновился. Но с другой стороны - получается, что система кибера соображает, что пост о завершении анализа на VI успешно не опубликован и публикует его - тогда спрашивается, если знал, то почему бездействовал :) Видимо, есть какой-то сбой в логике принятия решения - сейчас буду искать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Мог бы и больше думать ... оказалось все просто:

1. пользователь вместо запуска скрипта 8 выполняет скрипт 4, затем загружает его через форму загрузки чистых файлов VI, получает ответ со статистикой. А затем его-же (не переделывая !) грузит в VirusDetector. Система видит, что такой файл уже ранее приходил по другому источнику VI и значится, что ответ был дан - как следствие, ответ в виде поста на форум не формируется. И вероятность его формирования крайне маловероятен при любых условиях

2. В момент отправки результатов анализа возникает сбой на стороне VI (перегрузка, сбои на канале и т.п.) в итоге попытка не успешна, но анализ то файла завершен - и повторных попыток не делается. Когда по карантину произойдет некое изменение, будет сделана еще одна попытка.

Сделал исправления:

- если файл уже грузился через форму пополнения базы чистых, а потом его же загрузили в VirusDetector, карантин "переносится" в зону ответственности VirusDetector и ответ публикуется как надо (это и были те самые посты полугодичной давности)

- если возникает сбой при отправке отчета, то через некоторый интервал времени (не более часа) делается повторная попытка его отправки - и так до успешного выполнения операции.

"Застрявших" карантинов было немного, в сумме примерно 20 штук

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Не понятно, зачем пользователи грузят карантин в обе формы, но интересно другое

пользователь вместо запуска скрипта 8 выполняет скрипт 4

для анализа, получения отчёта и т.д. есть разница выполнять скрипт №4 или скрипт №8 ? Насколько я понимаю вся разница между ними только в том, что в 8-м скрипте AVZ сначала пытается обновить базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
    • demkd
      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
×