gazlan

Необоснованное обвинение

В этой теме 32 сообщений

Попробую здесь спросить.

Ситуация:

Я автор программы, DEMO-версия которой доступна с моей домашней странички. На www.cyberforum.ru, одним из пользователей я был обвинен в распространении malware и, в качестве доказательства, приводился скриншот (AV)программы, демонстрирующий, что EXE-файл DEMO-версии упакован пакером, который эта программа, как я понимаю, не может ни опознать (WinUpack 0.39), ни распаковать. Данные мной пояснения и ссылка на virustotal (https://www.virustotal.com/en/file/42df5fd427829e4ebd915f2ca12875870a77a784290b30709d7a9918cf190e55/analysis/1362148204/) проигнорированы (как я полагаю, просто в силу технической некомпетентности).

Обвинение в распространении malware, очевидно, наносит ущерб моей репутации.

Что лучше предпринять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отправьте ваш файл в ЛК и Доктор Вэб. Если придет ответ, что файл чист, то это будет доказательством.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Alex_Goodwin имхо надо отправлять не в ЛК и Доктор Вэб, а тому вендору, чьим антивирусом пользуется тот юзер, возможно, они добавят файл в базу чистых. А насчёт ЛК и Доктор Вэб по VT и так видно, что они не считают файл вредоносным и детект идёт именно на пакер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тому вендору, чьим антивирусом пользуется тот юзер, возможно, они добавят файл в базу чистых

Это я, разумеется, сделал - отправил FALSE ALARM report, но уверен, что это бесполезно. Подробнее здесь: Malwarebytes Anti-Malware PRO

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Оригинальный файл имеет размер 254 КБ, сжатый - 67 КБ.

gazlan, с какой целью вы применяете упаковщик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
познакомился с удивительной программой, которую авторы выдают за антивирус - Malwarebytes Anti-Malware PRO.

gazlan возможно вам будет интересно почитать эти две темы:

http://www.anti-malware.ru/forum/index.php?showtopic=18301

http://www.kernelmode.info/forum/viewtopic...?f=11&t=964

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
какой целью вы применяете упаковщик

Если быть честным, то больше по привычке, наверное - люблю маленькие и быстрые программы. Большая часть того, что у меня есть на диске упакована - и свои файлы и чужие. Раньше пользовался, в основном, UPX, но Upack, обычно, сжимает чуть лучше.

И еще - если это подразумевалось - крипторами не пользуюсь принципиально. То есть цели спрятать что-то не было.

вам будет интересно почитать эти две темы

Спасибо! Безусловно, интересно.

А вот глупый вопрос: профессиональное AV-сообщество такие вещи не беспокоят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Может быть это модуль "родительский контроль" сработал? Чтобы школоту от cyberporno защитить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

gazlan, если человек не захочет поверить, то никакие доказательтва ему нет смысла приводить. Пусть даже сам Евгений Касперский по нтв выступит и скажет что программа безвредна :) А вообще выше вам все правильно советовали...

Могу только добавить:

1. привычка это хорошо, но предлагаю не паковать, т.к выигрыша в скорости работы нет, места на харде не сильно выиграли, да и для скачки даже через диалап немного. Если хотите то при выкладывании на сервер можно дистрибутив заархивировать. А от пакеров типа upack и ему подобных только шипение со стороны антивирусов и никакой пользы...

2. Можно долго смеятся над детектом по именам, но в реальной жизни вреда от этого никакого, а детект реального зловреда есть. Но вообще это неправильно, конечно.

Я не хочу разжигать холивар, но МБАМ по лечению утрет нос не меньше чем половине антивирусов с вирустотала.

3. Когда у нас бабки рубят за нерабочие антивирусы ("иммунитет"), то на их фоне мбам и вовсе кажется светилом технологий...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А от пакеров типа upack и ему подобных только шипение со стороны антивирусов и никакой пользы

Безотносительно к данному случаю, мне кажется странным ориентироваться на "продукт" с нулевой функциональностью. Тогда уж и в RAR паковать нельзя - архивы MBAM тоже не понимает.

Иными словами, свободный выбор компилятора, упаковщика итп. должен быть моим правом, а не диктоваться некомпетентным дядей из Иммунитета-2.

А в перспективе, учитывая долгую историю EXE-пакеров (com-пакеры, diet, lzexe...), думаю что поделкам типа MBAM придется просто покинуть рынок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

MBAM занимает свою нишу и вряд ли ее покинет. И вряд ли они буду из-за поделок сбивать детект.

Иными словами, свободный выбор компилятора, упаковщика итп. должен быть моим правом, а не диктоваться некомпетентным дядей из Иммунитета-2.

Естественно, только потом не удивляйтесь когда результаты работы будут сливаться в треш.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

gazlan, не надо кидаться словами про нулевую функциональность. я не фан мбама, но неприятно когда вот так без аргументации отзываются о достаточно нормальном продукте такого класса.

про пакеры мне добавить нечего. естественно это ваше право паковать продукт чем угодно. я лишь пояснил откуда растут уши у детекта и что можно сделать чтобы не было повторения ситуации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Подробнее здесь: Malwarebytes Anti-Malware PRO

Есть контекстное сканирование, для чего были все эти танцы с флешками?

Многие хелперы используют лог сканирования MBAM, для анализа и помощи при заражении системы.

Разработчики не позиционируют продукт как полноценный антивирус, отсюда отсутствие многих технологий, например работа с контейнерами.

Единственно что бы я рекомендовал, это не пользовать MBAM чайникам и людям с неуравновешенной психикой.

Ничего личного)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Есть контекстное сканирование, для чего были все эти танцы с флешками?

Может быть только в версии Pro? Ни на одной вкладке не нашел возможностии выбрать отдельный файл или директорию.

пояснил откуда растут уши у детекта и что можно сделать чтобы не было повторения ситуации

Дело в том, что Upack хорошо известен не первый год, всеми, кому нужно, распаковывается. В сети несложно найти даже исходный код распаковщика. Ни один из "брэндовых" AV претензий к нему не имел. Детект Upack как малвари, для меня полная неожиданность и, разумеется, показатель качества продукта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И да, по поводу "нулевой" функциональности я, конечно, неправ - она отрицательна.

Ранее, я не упомянул (не имело отношения к вопросу), что при сканировании жестких дисков и реестра, MBAM пометил как "инфицированные" множество вполне добропорядочных файлов и предложил их удалить.

Плохо представляю, что может твориться на компьютерах юзеров, доверивших "лечение" подобной программе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дело в том, что Upack хорошо известен не первый год, всеми, кому нужно, распаковывается. В сети несложно найти даже исходный код распаковщика. Ни один из "брэндовых" AV претензий к нему не имел. Детект Upack как малвари, для меня полная неожиданность и, разумеется, показатель качества продукта.

1. Не показатель.

2. На другие ваши упакованные приложения детект со стороны некоторых антивирусов гораздо определённее - Gen:[email protected]@g, Win-Trojan/OnlineGameHack.B или TrojWare.Win32.TrojanDownloader.Agent.~d018

Используйте UPX хотя бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ранее, я не упомянул (не имело отношения к вопросу), что при сканировании жестких дисков и реестра, MBAM пометил как "инфицированные" множество вполне добропорядочных файлов и предложил их удалить.

лог сканирования в студию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И да, по поводу "нулевой" функциональности я, конечно, неправ - она отрицательна.

1) Не надо пользоваться этой программе параноиками и слепо доверять её детектам.

2) Как уже написали в теме, эта программа позволяет найти и удалить вирусы, которые не видят другие антивирусы и утилиты. Разумеется, для этого должен быть, какой-то опыт работы с программой и не следует слепо удалять всё, что она найдёт.

В таких случаях она бывает очень полезна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На другие ваши упакованные приложения

Вероятно, это про директорию "Toy Tools"? Там не все мое, многое найдено в инете. Я не пакую ничем другим, кроме Upack и UPX.

лог сканирования в студию

Уже удален, вместе с MBAM. Сейчас, для теста, я поставлю его еще раз и выложу лог немного позднее.

и не следует слепо удалять всё, что она найдёт

Думаю, большинство юзеров нажмет "Удалить", даже не вчитываясь в сообщения программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

MBAM_log_2013_03_03__22_00_56_.rar

Уже удален, вместе с MBAM. Сейчас, для теста, я поставлю его еще раз и выложу лог немного позднее.

Отчет только по диску C:

MBAM_log_2013_03_03__22_00_56_.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просмотрел бегло лог

HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> No action taken.HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> No action taken.

это от тулбара webalta - можете сами погуглить, какая у него репутация и что это.

PUP.Funmoods - ad-aware, тоже рекомендовал бы вам удалить.

.zip.exe (Hoax.ArchSMS) - фейковые архивы, которые для распаковки просят отправить смс.

назначение PUP.OperaPasswordTool, PUP.PassView, PUP.PSWTool.ProductKey и т.д. думаю и так понятно.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 02\Lesson 02.exe

интересно было бы увидеть отчёт по VT

+ у вас стоит

Windows XP Service Pack 2 x86 NTFS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C:\R\FAKE - это, что, автор сам создаёт архивы, требующие отправки SMS за распаковку ? Дополнительный заработок?

C:\R\FAKE\ABBYY_FineReader_11_0_110_122_Pro___Light___Corporate_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\ABBYY_Screenshot_Reader_9_0_0_1051_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\AceMoney_4_20_6_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\activ_ebook_compiler.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\activ_ebook_compiler_2__.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\activ_ebook_compiler_3.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Adrosoft_AD_Sound_Recorder_5_4_5_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Adrosoft_AD_Stream_Recorder_4_3_5_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Anthemion_Jutoh_1_58_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\DBF_Viewer_Plus_1_69_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Dia_0_97_1_1_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Domashnyaya_buhgalteriya_4_4_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Edraw_Max_Pro_6_8_0_2400_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\FairStars_MP3_Recorder_2_40_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\FairStars_Recorder_3_50_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\FastStone_Capture_7_3_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Fax_Machine_4_33_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Fax_Machine_4_33_Portable.zip_1.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Finance_Explorer_5_5_1_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\FontExpert_2009_10_0_R3_Portable_Rus.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\GnuCash_2_4_11_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\HyperCam_3_4_1206_04_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\iCash_7_4_9_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Kalkules_1_8_2_17_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\MathType_6_6a_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\MOBILedit__3_1_0_296_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Natata_eBook_Compiler_Gold_3_03_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Personal_Finances_Pro_5_2_4590_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Polyglot3000_3_70_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\RapidTyping_4_6_6_Final_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\RedCrab_4_32_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\SQLite_Expert_Pro_3_4_36_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\TechSmith_Camtasia_Studio_6_0_2_Build_885_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\TechSmith_Camtasia_Studio_7_0_1_Lite_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\TechSmith_SnagIt_11_1_0_248_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Total_Recorder_Editor_Pro_12_1_1_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\TranslateIt__8_1_build_3_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Unit_Converter_01_28_1194_Portable_Rus.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\VerseQ_2011_02_23_226_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\VueScan_Pro_9_2_03_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\WebShot_1_71_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\WhereIsIt__3_97_Build_612_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Wink_2_0_build_1060_Portable_Rus.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Wondershare_QuizCreator_2_4_0_4_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\Xilisoft_iPhone_Magic_Platinum_5_4_9_20130108_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

C:\R\FAKE\YoGen_Recorder_3_5_11_Portable.zip.exe (Hoax.ArchSMS) -> No action taken.

Внушительный список.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Значит наш разработчик не брезгует подсунуть пользователю УГ для своего заработка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Фолсы:

C:\---TESTED---\design\design\35\graphity-341.exe (Trojan.Agent)

C:\---TESTED---\Jakstab-0.8.3\Jakstab\input\bin\vmcai12\demo2.exe (Trojan.SmallDL)

C:\Bin\Plugins\PeID\UPXScramb.dll (Trojan.KillAV)

С этими вообще в тему "Фабрика epic falses" нужно :)

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 02\Lesson 02.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 03\Lesson 03.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 04\Lesson 04.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 05\Lesson 05.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 06\Lesson 06.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 07\Lesson 07.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 08\Lesson 08.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 09\Lesson 09.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 10\Lesson 10.exe (Trojan.Meredrop) -> No action taken.

C:\--\GFX game\Gameinstitute.com - Game Mathematics\Gameinstitute.com - Game Mathematics\Gameinstitute\GMT - Lecture Lesson 11\Lesson 11.exe (Trojan.Meredrop) -> No action taken.

Оригинальный Lesson 08.exe:

https://www.virustotal.com/ru/file/5b492261...sis/1362333826/

Lesson 08.exe со снятым упаковщиком:

https://www.virustotal.com/ru/file/29ef6d39...sis/1362333453/

Если это стандартные "Hello, world!", то совсем печально. Скиньте в личку.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\symbols\mdb\Test\Resources\assemblies\hello.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.anycpu.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.ia64.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.x64.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hello.x86.exe (Backdoor.MSIL.PGen) -> No action taken.

C:\---TESTED---\JustDecompile-De4dot-Plugin-Source\De4dot.JustDecompile\De4dot\sources\cecil\Test\Resources\assemblies\hellow.exe (Backdoor.MSIL.PGen) -> No action taken.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS