Перейти к содержанию
Anmawe

Каким антивирусам можно верить ?

Recommended Posts

Anmawe

https://www.virustotal.com/ru/file/1c25b23b...4ec34/analysis/

У антивирусов разный результат. У кого-то ничего нет, у кого-то Backdoor , Riskware, Trojan, HackTool, Trojan.Encoder , not-a-virus , Generic Trojan .

Что там на самом деле - безобидный кейген, или Backdoor , а может Trojan.Encoder ? Кому поверить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

без всяких поисков в инете можно по одному только отчету на ВТ сказать, что это кряк, а не энкодер или винлок.

а верить нужно симантеку, разумеется...:))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

что это кряк, а не энкодер или винлок

Откуда такая уверенность ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

HackTool там только в контексте Keygen и с определением кейген, там согласны больше половины антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. большинство аверов сходятся во мнении, что это кейген/хактул (одно и тоже)

2. файл первый раз залит был оочень давно, а детекта от каспера нет до сих пор, хотя этот файл мегапопулярен и не мог выпасть из поля зрения (видно что 25 раз как минимум его заливали)

3. самый изящный аргумент: его как нот-а-вирус детектит икарус, а он берет детекты у каспера, значит у каспера был такой детект когда-то, но файл настолько хороший, что даже этот детект они удалили...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

+ надо помнить, что у многих вендоров на virustotal включен параноидальный режим, и они всё что не белое по их облаку могут например метить как подозрительное с невразумительными вердиктами. при этом на тот же самый файл на пользовательских машинах никакого возбуждения не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

к своему предыдущему сообщению хочу добавить, что третий пункт лишь предположение с некоей долей вероятности...

DrGolova, имеешь в виду, что у некоторых там в конфиге прописан максимальный уровень эвристики или там реально некоторые детектят почти все подряд?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

http://whitelisting.kaspersky.com/advisor-...3ca71aa0ca78248 реально популярный файлик :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

2 раздачи

http://rutracker.org/forum/viewtopic.php?t=3684709

http://rutracker.org/forum/viewtopic.php?t=3613287 .

Касперский в обеих раздачах находит троянскую программу Trojan.Win32.Chifrax.a , эвристический анализ выключен . Nod находит потенциально опасную программу Hacktool . Разный вердикт на один и тот же файл. Авира тоже находит троян. Другие антивирусы (Avast, Comodo, Microsoft, AVG, Dr Web) ничего не обнаружили .

Неужели Касперский и Авира ошибаются и там нет трояна ? Максимум, что там может быть - Hacktool ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

f428350687.jpg

вообще то это первый запрос, за последние сутки, в чём может быть проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

+1 у меня тоже самое ;).

А также капчу можно было бы поставить более разборчивую.

05780789ea4e.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Рекапча же. Я так понимаю, это запросы с одноо IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Рекапча же. Я так понимаю, это запросы с одноо IP.

дык это понятно и моему коту, но каким образом, если я один раз обратился к этому ресурсу, ip у меня белый, если что)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> Неужели Касперский и Авира ошибаются и там нет трояна ?

Конкретно в этом случае ошибаются.

Вместо трояна там есть до безобразия модифицированный самораспаковывающийся RAR архив с перебитыми сигнатурами/русурсами пожатый сверху модифицированным UPX'ом.

Обычно так тщательно сбивают распаковку для распространения вовсе не ломаных игрушек =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> DrGolova, имеешь в виду, что у некоторых там в конфиге прописан максимальный уровень эвристики или там реально некоторые детектят почти все подряд?

Что у них там прописано мне не ведомо, но похоже, что я наврал - не могу воспроизвести прошлогодний опыт. Тогда реально несколько вендоров детектили все подряд свежескомпиленые файлы как suspicious.

Толи что-то поменялось, толи тогда что-то было сломано, но сейчас получаются только обычные сигнатурные фалсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
ip у меня белый, если что

От с того и стоило начинать :) Тогда не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Anmawe вы так сюда из-за каждого файла будете бегать спрашивать ?

По сабжу видно же по детектам, что ругаются на пакер - Packed.VMProtect

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
theon

ну верить антивирусу или нет, можно понять только после того, как сам долго юзаешь. сам могу посоветовать из бесплатных - они все приблизительно одинаковые, но если хочешь что-то понадежней, то покупай mcafe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov

Зачем покупать McAfee. Его и так бесплатно на пол года на каждом углу раздают (причём официально)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gerome

это если подфартит, а вы ж знаете когда срачка-гарячка? Новый девайс сразу хочется под себя сделать: все поставить красивенько, пленочки-приложения, забить сразу всю карту памяти)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Посты про разные ответы от вирлабов и обсуждение идеи личного вирусного аналитика выделены в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=26304

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

http://www.anti-malware.ru/forum/index.php...st&p=171256

Цитата

Конкретно в этом случае ошибаются.

Вместо трояна там есть до безобразия модифицированный самораспаковывающийся RAR архив с перебитыми сигнатурами/русурсами пожатый сверху модифицированным UPX'ом.

Обычно так тщательно сбивают распаковку для распространения вовсе не ломаных игрушек =)

( http://rutracker.org/forum/viewtopic.php?t=3613287 )

Из вирлаба касперского такое письмо пришло

Hello,

My apologies in the delay for getting back to you.

It turns out that this detection is correct. It is using an infected installer. We will not fix the detection.

Sincerely yours,

Paul Ambroso,

Junior Malware analyst.

_____________________

Kaspersky Lab

Bellevue, USA

39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В комментах доверяют файликоу .NFO и рекомендации выключить антивирус, но не доверяют антивирусу. Ну ладушки. Шифровальщики и до них дойдут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
×