Anmawe

Каким антивирусам можно верить ?

В этой теме 55 сообщений

https://www.virustotal.com/ru/file/1c25b23b...4ec34/analysis/

У антивирусов разный результат. У кого-то ничего нет, у кого-то Backdoor , Riskware, Trojan, HackTool, Trojan.Encoder , not-a-virus , Generic Trojan .

Что там на самом деле - безобидный кейген, или Backdoor , а может Trojan.Encoder ? Кому поверить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

без всяких поисков в инете можно по одному только отчету на ВТ сказать, что это кряк, а не энкодер или винлок.

а верить нужно симантеку, разумеется...:))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

что это кряк, а не энкодер или винлок

Откуда такая уверенность ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

HackTool там только в контексте Keygen и с определением кейген, там согласны больше половины антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. большинство аверов сходятся во мнении, что это кейген/хактул (одно и тоже)

2. файл первый раз залит был оочень давно, а детекта от каспера нет до сих пор, хотя этот файл мегапопулярен и не мог выпасть из поля зрения (видно что 25 раз как минимум его заливали)

3. самый изящный аргумент: его как нот-а-вирус детектит икарус, а он берет детекты у каспера, значит у каспера был такой детект когда-то, но файл настолько хороший, что даже этот детект они удалили...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+ надо помнить, что у многих вендоров на virustotal включен параноидальный режим, и они всё что не белое по их облаку могут например метить как подозрительное с невразумительными вердиктами. при этом на тот же самый файл на пользовательских машинах никакого возбуждения не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

к своему предыдущему сообщению хочу добавить, что третий пункт лишь предположение с некоей долей вероятности...

DrGolova, имеешь в виду, что у некоторых там в конфиге прописан максимальный уровень эвристики или там реально некоторые детектят почти все подряд?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

2 раздачи

http://rutracker.org/forum/viewtopic.php?t=3684709

http://rutracker.org/forum/viewtopic.php?t=3613287 .

Касперский в обеих раздачах находит троянскую программу Trojan.Win32.Chifrax.a , эвристический анализ выключен . Nod находит потенциально опасную программу Hacktool . Разный вердикт на один и тот же файл. Авира тоже находит троян. Другие антивирусы (Avast, Comodo, Microsoft, AVG, Dr Web) ничего не обнаружили .

Неужели Касперский и Авира ошибаются и там нет трояна ? Максимум, что там может быть - Hacktool ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

f428350687.jpg

вообще то это первый запрос, за последние сутки, в чём может быть проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+1 у меня тоже самое ;).

А также капчу можно было бы поставить более разборчивую.

05780789ea4e.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Рекапча же. Я так понимаю, это запросы с одноо IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рекапча же. Я так понимаю, это запросы с одноо IP.

дык это понятно и моему коту, но каким образом, если я один раз обратился к этому ресурсу, ip у меня белый, если что)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> Неужели Касперский и Авира ошибаются и там нет трояна ?

Конкретно в этом случае ошибаются.

Вместо трояна там есть до безобразия модифицированный самораспаковывающийся RAR архив с перебитыми сигнатурами/русурсами пожатый сверху модифицированным UPX'ом.

Обычно так тщательно сбивают распаковку для распространения вовсе не ломаных игрушек =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> DrGolova, имеешь в виду, что у некоторых там в конфиге прописан максимальный уровень эвристики или там реально некоторые детектят почти все подряд?

Что у них там прописано мне не ведомо, но похоже, что я наврал - не могу воспроизвести прошлогодний опыт. Тогда реально несколько вендоров детектили все подряд свежескомпиленые файлы как suspicious.

Толи что-то поменялось, толи тогда что-то было сломано, но сейчас получаются только обычные сигнатурные фалсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ip у меня белый, если что

От с того и стоило начинать :) Тогда не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Anmawe вы так сюда из-за каждого файла будете бегать спрашивать ?

По сабжу видно же по детектам, что ругаются на пакер - Packed.VMProtect

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну верить антивирусу или нет, можно понять только после того, как сам долго юзаешь. сам могу посоветовать из бесплатных - они все приблизительно одинаковые, но если хочешь что-то понадежней, то покупай mcafe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зачем покупать McAfee. Его и так бесплатно на пол года на каждом углу раздают (причём официально)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это если подфартит, а вы ж знаете когда срачка-гарячка? Новый девайс сразу хочется под себя сделать: все поставить красивенько, пленочки-приложения, забить сразу всю карту памяти)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посты про разные ответы от вирлабов и обсуждение идеи личного вирусного аналитика выделены в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=26304

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://www.anti-malware.ru/forum/index.php...st&p=171256

Цитата

Конкретно в этом случае ошибаются.

Вместо трояна там есть до безобразия модифицированный самораспаковывающийся RAR архив с перебитыми сигнатурами/русурсами пожатый сверху модифицированным UPX'ом.

Обычно так тщательно сбивают распаковку для распространения вовсе не ломаных игрушек =)

( http://rutracker.org/forum/viewtopic.php?t=3613287 )

Из вирлаба касперского такое письмо пришло

Hello,

My apologies in the delay for getting back to you.

It turns out that this detection is correct. It is using an infected installer. We will not fix the detection.

Sincerely yours,

Paul Ambroso,

Junior Malware analyst.

_____________________

Kaspersky Lab

Bellevue, USA

39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В комментах доверяют файликоу .NFO и рекомендации выключить антивирус, но не доверяют антивирусу. Ну ладушки. Шифровальщики и до них дойдут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS