Каким антивирусам можно верить ? - Страница 2 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
Anmawe

Каким антивирусам можно верить ?

Recommended Posts

Anmawe

Может ли быть такое, что разработчики игры Fruit Ninja попросили добавить лабораторию касперского крякнутый установщик в их базы (якобы там троян) ? Чтобы те, кто верят касперскому, не устанавливали эту игру, и покупали её.

Если там и правда вредоносное ПО, то другие антивирусы так бы и писали. Но они так не пишут. Неувязка какая-то.

Это всё мое предположение !

На луркморье читал, что подобные случаи были, когда невредоносную программу (кряк, кейген) детектили как вредоносную (не путать с потенциально опасной) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

"Проблема" с игрой настолько никчемна, что даже прям думать не хочется о ней. Пусть школьники попросят у мамки денег и купят уже игру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> Может ли быть такое, что разработчики игры Fruit Ninja попросили добавить лабораторию касперского крякнутый установщик в их базы

Что значит "Может ли быть такое"? Разве я не доходчево объяснил за что именно детектируются эти файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

Давайте еще вбросим, что это Евгений Рошаль проплачивает детект модифицированного WinRAR'а (ну или Маркус Оберхумер трясется за целостность своего UPX)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest roodme

На самом деле, существует довольно много отличных антивирусов. Сам пробовал около 4-х или 5-ти. Пока остановился на варианте от drweb, думаю, что все о нем слышали. Защита хорошая, около полу года использования это доказывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Неужели у DrWeb так плохо с продажами, что его пиарщики идут на такие дешёвые трюки? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Пока остановился на варианте от drweb, думаю, что все о нем слышали. Защита хорошая, около полу года использования это доказывают.

Антивирус drweb? Кто-нибудь что-нибудь о нём слышал? :blink:

roodme, а ему точно можно верить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

вообще-то официальный сайт drweb - http://www.drweb.com/

А сайт, который указал roodme, по-моему, принадлежал САЛД. Хотя может склероз уже и подводит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe
Разве я не доходчево объяснил за что именно детектируются эти файлы?

https://www.securelist.com/ru/descriptions/old225148 Trojan.Win32.Chifrax.a

Деструктивная активность

После запуска троянец извлекает из своего тела следующие файлы:

C:\Program Files\Real\FE1012F4.exe

Данный файл имеет размер 80384 байта и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.cei.

C:\Program Files\Real\NOD32.exe

Проверил разными программами, они показали, что тот установщик не запускает файлы FE1012F4.exe и NOD32.exe .

DrGolova, вы случайно не знаете, почему тот установщик детектируется именно как

Trojan.Win32.Chifrax.a ? Вы доходчиво объяснили, я понимаю, почему он детектится, но не могу понять, почему он детектится как Win32.Chifrax.a .

https://www.virustotal.com/ru/file/75428cc7...sis/1393404939/ - здесь Kaspersky пишет HEUR:Trojan . Почему не пишет Chifrax.a ?

Антивирус drweb? Кто-нибудь что-нибудь о нём слышал? blink.gif

roodme, а ему точно можно верить?

У drweb часто ложные срабатывания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Борис Щеткин

Почти год стоит Eset Smart Security, раньше был awast

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> DrGolova, вы случайно не знаете, почему тот установщик детектируется именно как Trojan.Win32.Chifrax.a ?

Chifrax - это вердикт-помойка (наряду с Agent, Zapchast и пр.), но предназначенный для детекта модифицированных исполнимых частей популярных инсталляторов и саморараспаковывающихся архивов.

Модифицируют обычно просто сигнатуру архива/инсталлятора, чтобы сбить распаковку общедоступными инструментами (и антивирусами в том числе)

Например делают WinRAR SFX архив со скриптом, который молча дропает малварный файл в системную папку, и его запускает, а потом уже ставит тот варез, что пользватель качал, и которому он давал разрешение в UAC.

А чтобы никто не смог этот бандл распаковать и проверить, в нем сигнатуру "Rar!" меняют на "Hooy" - и в архиве, и в SFX стабе, который по этой сигнатруе собственно и ищет внутри себя этот архив.

Chifrax детектит сам факт модификации исполнимого стаба, а не содержимое архива/инсталлятора, поэтому внутри может быть что угодно (в том числе и совершенно невинные вещи, т.е. ложное срабатывание). Про это я уже говорил: а зачем тебе так тщательно прятаться, если ты не малвара?

Откуда берется чистяк под такой патченной маргинальщиной? Да из китая! Там они, похоже, считают, что перехачить бинари винрара это гораздо круче чем за полчаса отскриптовать инсталлятор на опенсорсном NSIS'е (хотя его они тоже перепатчивают вдоль и поперек). Это крякерские понты, не иначе.

Я не думаю, что это секрет, что большинство описаний малвары делается роботами на основе поведения в песочнице.

То, что выдает секьюрлист на Chifrax - это анализ того самого первого сэмпла, который был задетектирован под этим именем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Это программа безопасна http://whitelist.kaspersky.com/advisor?lan...bb6426a9b3306e3 . Там прямо так и написано "Безопасно".

Здесь другой результат по поводу безопасности файла https://www.virustotal.com/ru/file/e89eade2...sis/1399364479/

Если Сертификат Доверенный - разве правильно эту программу считать безопасной ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF
Если Сертификат Доверенный - разве правильно эту программу считать безопасной ?

Как я понимаю, Касперский позволит запустит этот зловред даже при включенном Белом списке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Это как бы не зловред, Adware (not-a-virus), устанаваливает рекламные программы и трояны-даунлодеры (так считает Curelt от Dr Web, и Nod тоже) . Было бы там написано "Обрабатывается" - у меня бы не было претензий. А так я вижу "Безопасно", доверяю касперскому (и ,например, не проверяю, а может он ошибается ?), запускаю - и получаю пару рекламных программ с троянами.

Вот что устанавливается в системе, касперский потенциально опасными/нежелательными их не считает. Из 9 файлов касперский определяет только один файл как not-a-virus .

https://www.virustotal.com/ru/file/ea15fd26...sis/1399441367/

https://www.virustotal.com/ru/file/5470a0cc...sis/1399441502/

https://www.virustotal.com/ru/file/67540fc7...sis/1399441768/

https://www.virustotal.com/ru/file/114cdd84...sis/1399441842/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

вот потому и предлагал (была относительно большая аргументировання дискуссия об этом) провести тест антивирусов на детектирование разных семейств адвари :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Это программа безопасна http://whitelist.kaspersky.com/advisor?lan...bb6426a9b3306e3 . Там прямо так и написано "Безопасно".

Здесь другой результат по поводу безопасности файла https://www.virustotal.com/ru/file/e89eade2...sis/1399364479/

Если Сертификат Доверенный - разве правильно эту программу считать безопасной ?

1. Ошибочное доверие поправлено

2. Можно мне семпл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe
1. Ошибочное доверие поправлено

2. Можно мне семпл?

Вам куда файл прислать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Сертификат - Подписан (nv4_disp.dll) http://whitelist.kaspersky.ru/advisor-ru#s...41dc69452d243e9

Здесь, как я понимаю, нет подтверждений, что у файла nv4_disp.dll действительная ЭЦП https://www.virustotal.com/ru/file/ce4aed8e...sis/1399470379/

Malware Defender тоже пишет, что ЭЦП нет, база цифровых подписей загружена .

Этот файл nv4_mini.sys, например, подписан https://www.virustotal.com/ru/file/8139bb08...8ef2f/analysis/

Пока писал это сообщение, сертификат стал Доверенным :huh:

Если у файла нет ЭЦП, то сертификат недоверенный, я правильно понимаю ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
engolol
Зачем покупать McAfee. Его и так бесплатно на пол года на каждом углу раздают (причём официально)

______________

мой дом моя безопастность

http://thereforma.ru/poligraph/nakliyki

у меня коммерческая версия, в принципе доволен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

В данном случае верить касперскому или доктор вебу ? https://www.virustotal.com/ru/file/7fa54fe6...sis/1372326180/

Касперский пишет "червь", доктор веб пишет "троян" .

21 антивирусов пишут "троян", 6 антивирусов пишут "червь" .

Это червь, верно ? 21 антивирусов ошибаются (скопировали друг у друга детект ? ) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LocK

Большинство других антивирей пишут просто: Троян. Факт то, что практически любой вирус ворует конфиденциальные данные пользователя, за что он и зовется троянской программой.

Касперский вроде наоборот, делает более широкую расшифровку. У них есть обычные трояны, есть Буткиты, черви и прочее..

Даже с теми же шифровальщиками посмотреть информацию других антивирусов и статейки, а так же детект Касперского, то сразу будет видна разница.

Остальным вирлабам скорее всего лень заниматься, так как не больно-то статей в инете видишь по поводу поведения вредоносных программ. В основном у Касперских всегда по блогам неплохие статьи пишутся.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

В данном случае поверьте Symantec. Маскирующийся под пиратское ПО Graybird - очень частый случай. Не запускайте кейген.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы о чем вообще? Товарищ разницу между вормом и трояном ищет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe
Факт то, что практически любой вирус ворует конфиденциальные данные пользователя, за что он и зовется троянской программой.

Вы вирусом что назвали ? Вредоносную программу, которая не размножается, или программу, которая может создавать копии самого себя и внедряться в код других программ ?

Разве вирус может быть троянской программой ?

Большинство других антивирей пишут просто: Троян

Эти антивири всё называют трояном - и вирус, и червя ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×