Перейти к содержанию
Anmawe

Каким антивирусам можно верить ?

Recommended Posts

Anmawe

Может ли быть такое, что разработчики игры Fruit Ninja попросили добавить лабораторию касперского крякнутый установщик в их базы (якобы там троян) ? Чтобы те, кто верят касперскому, не устанавливали эту игру, и покупали её.

Если там и правда вредоносное ПО, то другие антивирусы так бы и писали. Но они так не пишут. Неувязка какая-то.

Это всё мое предположение !

На луркморье читал, что подобные случаи были, когда невредоносную программу (кряк, кейген) детектили как вредоносную (не путать с потенциально опасной) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

"Проблема" с игрой настолько никчемна, что даже прям думать не хочется о ней. Пусть школьники попросят у мамки денег и купят уже игру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> Может ли быть такое, что разработчики игры Fruit Ninja попросили добавить лабораторию касперского крякнутый установщик в их базы

Что значит "Может ли быть такое"? Разве я не доходчево объяснил за что именно детектируются эти файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

Давайте еще вбросим, что это Евгений Рошаль проплачивает детект модифицированного WinRAR'а (ну или Маркус Оберхумер трясется за целостность своего UPX)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest roodme

На самом деле, существует довольно много отличных антивирусов. Сам пробовал около 4-х или 5-ти. Пока остановился на варианте от drweb, думаю, что все о нем слышали. Защита хорошая, около полу года использования это доказывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Неужели у DrWeb так плохо с продажами, что его пиарщики идут на такие дешёвые трюки? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Пока остановился на варианте от drweb, думаю, что все о нем слышали. Защита хорошая, около полу года использования это доказывают.

Антивирус drweb? Кто-нибудь что-нибудь о нём слышал? :blink:

roodme, а ему точно можно верить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

вообще-то официальный сайт drweb - http://www.drweb.com/

А сайт, который указал roodme, по-моему, принадлежал САЛД. Хотя может склероз уже и подводит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe
Разве я не доходчево объяснил за что именно детектируются эти файлы?

https://www.securelist.com/ru/descriptions/old225148 Trojan.Win32.Chifrax.a

Деструктивная активность

После запуска троянец извлекает из своего тела следующие файлы:

C:\Program Files\Real\FE1012F4.exe

Данный файл имеет размер 80384 байта и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.cei.

C:\Program Files\Real\NOD32.exe

Проверил разными программами, они показали, что тот установщик не запускает файлы FE1012F4.exe и NOD32.exe .

DrGolova, вы случайно не знаете, почему тот установщик детектируется именно как

Trojan.Win32.Chifrax.a ? Вы доходчиво объяснили, я понимаю, почему он детектится, но не могу понять, почему он детектится как Win32.Chifrax.a .

https://www.virustotal.com/ru/file/75428cc7...sis/1393404939/ - здесь Kaspersky пишет HEUR:Trojan . Почему не пишет Chifrax.a ?

Антивирус drweb? Кто-нибудь что-нибудь о нём слышал? blink.gif

roodme, а ему точно можно верить?

У drweb часто ложные срабатывания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Борис Щеткин

Почти год стоит Eset Smart Security, раньше был awast

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> DrGolova, вы случайно не знаете, почему тот установщик детектируется именно как Trojan.Win32.Chifrax.a ?

Chifrax - это вердикт-помойка (наряду с Agent, Zapchast и пр.), но предназначенный для детекта модифицированных исполнимых частей популярных инсталляторов и саморараспаковывающихся архивов.

Модифицируют обычно просто сигнатуру архива/инсталлятора, чтобы сбить распаковку общедоступными инструментами (и антивирусами в том числе)

Например делают WinRAR SFX архив со скриптом, который молча дропает малварный файл в системную папку, и его запускает, а потом уже ставит тот варез, что пользватель качал, и которому он давал разрешение в UAC.

А чтобы никто не смог этот бандл распаковать и проверить, в нем сигнатуру "Rar!" меняют на "Hooy" - и в архиве, и в SFX стабе, который по этой сигнатруе собственно и ищет внутри себя этот архив.

Chifrax детектит сам факт модификации исполнимого стаба, а не содержимое архива/инсталлятора, поэтому внутри может быть что угодно (в том числе и совершенно невинные вещи, т.е. ложное срабатывание). Про это я уже говорил: а зачем тебе так тщательно прятаться, если ты не малвара?

Откуда берется чистяк под такой патченной маргинальщиной? Да из китая! Там они, похоже, считают, что перехачить бинари винрара это гораздо круче чем за полчаса отскриптовать инсталлятор на опенсорсном NSIS'е (хотя его они тоже перепатчивают вдоль и поперек). Это крякерские понты, не иначе.

Я не думаю, что это секрет, что большинство описаний малвары делается роботами на основе поведения в песочнице.

То, что выдает секьюрлист на Chifrax - это анализ того самого первого сэмпла, который был задетектирован под этим именем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Это программа безопасна http://whitelist.kaspersky.com/advisor?lan...bb6426a9b3306e3 . Там прямо так и написано "Безопасно".

Здесь другой результат по поводу безопасности файла https://www.virustotal.com/ru/file/e89eade2...sis/1399364479/

Если Сертификат Доверенный - разве правильно эту программу считать безопасной ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF
Если Сертификат Доверенный - разве правильно эту программу считать безопасной ?

Как я понимаю, Касперский позволит запустит этот зловред даже при включенном Белом списке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Это как бы не зловред, Adware (not-a-virus), устанаваливает рекламные программы и трояны-даунлодеры (так считает Curelt от Dr Web, и Nod тоже) . Было бы там написано "Обрабатывается" - у меня бы не было претензий. А так я вижу "Безопасно", доверяю касперскому (и ,например, не проверяю, а может он ошибается ?), запускаю - и получаю пару рекламных программ с троянами.

Вот что устанавливается в системе, касперский потенциально опасными/нежелательными их не считает. Из 9 файлов касперский определяет только один файл как not-a-virus .

https://www.virustotal.com/ru/file/ea15fd26...sis/1399441367/

https://www.virustotal.com/ru/file/5470a0cc...sis/1399441502/

https://www.virustotal.com/ru/file/67540fc7...sis/1399441768/

https://www.virustotal.com/ru/file/114cdd84...sis/1399441842/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

вот потому и предлагал (была относительно большая аргументировання дискуссия об этом) провести тест антивирусов на детектирование разных семейств адвари :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Это программа безопасна http://whitelist.kaspersky.com/advisor?lan...bb6426a9b3306e3 . Там прямо так и написано "Безопасно".

Здесь другой результат по поводу безопасности файла https://www.virustotal.com/ru/file/e89eade2...sis/1399364479/

Если Сертификат Доверенный - разве правильно эту программу считать безопасной ?

1. Ошибочное доверие поправлено

2. Можно мне семпл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe
1. Ошибочное доверие поправлено

2. Можно мне семпл?

Вам куда файл прислать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Сертификат - Подписан (nv4_disp.dll) http://whitelist.kaspersky.ru/advisor-ru#s...41dc69452d243e9

Здесь, как я понимаю, нет подтверждений, что у файла nv4_disp.dll действительная ЭЦП https://www.virustotal.com/ru/file/ce4aed8e...sis/1399470379/

Malware Defender тоже пишет, что ЭЦП нет, база цифровых подписей загружена .

Этот файл nv4_mini.sys, например, подписан https://www.virustotal.com/ru/file/8139bb08...8ef2f/analysis/

Пока писал это сообщение, сертификат стал Доверенным :huh:

Если у файла нет ЭЦП, то сертификат недоверенный, я правильно понимаю ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
engolol
Зачем покупать McAfee. Его и так бесплатно на пол года на каждом углу раздают (причём официально)

______________

мой дом моя безопастность

http://thereforma.ru/poligraph/nakliyki

у меня коммерческая версия, в принципе доволен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

В данном случае верить касперскому или доктор вебу ? https://www.virustotal.com/ru/file/7fa54fe6...sis/1372326180/

Касперский пишет "червь", доктор веб пишет "троян" .

21 антивирусов пишут "троян", 6 антивирусов пишут "червь" .

Это червь, верно ? 21 антивирусов ошибаются (скопировали друг у друга детект ? ) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LocK

Большинство других антивирей пишут просто: Троян. Факт то, что практически любой вирус ворует конфиденциальные данные пользователя, за что он и зовется троянской программой.

Касперский вроде наоборот, делает более широкую расшифровку. У них есть обычные трояны, есть Буткиты, черви и прочее..

Даже с теми же шифровальщиками посмотреть информацию других антивирусов и статейки, а так же детект Касперского, то сразу будет видна разница.

Остальным вирлабам скорее всего лень заниматься, так как не больно-то статей в инете видишь по поводу поведения вредоносных программ. В основном у Касперских всегда по блогам неплохие статьи пишутся.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

В данном случае поверьте Symantec. Маскирующийся под пиратское ПО Graybird - очень частый случай. Не запускайте кейген.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы о чем вообще? Товарищ разницу между вормом и трояном ищет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe
Факт то, что практически любой вирус ворует конфиденциальные данные пользователя, за что он и зовется троянской программой.

Вы вирусом что назвали ? Вредоносную программу, которая не размножается, или программу, которая может создавать копии самого себя и внедряться в код других программ ?

Разве вирус может быть троянской программой ?

Большинство других антивирей пишут просто: Троян

Эти антивири всё называют трояном - и вирус, и червя ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×