Каким антивирусам можно верить ? - Страница 3 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
Anmawe

Каким антивирусам можно верить ?

Автор Anmawe, в Выбор домашних средств защиты

Recommended Posts

Dale Northrop    11

Dale Northrop
Опубликовано
Вы о чем вообще? Товарищ разницу между вормом и трояном ищет :)

Я написал к посту в самом начале. Потом уже стало понятно, что речь о другом.

По поводу разницы: :D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Anmawe    5

Anmawe
Опубликовано

https://www.virustotal.com/ru/file/7fa54fe6...sis/1372326180/

4 антивируса пишут, что это бэкдор, но это явно не бэкдор. Как вы думаете, почему эти антивирусы выдают такой вердикт ? Почему они пишут, что там именно бэкдор ? Разве эта программа выполняет что-то характерное для бэкдоров ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.WA    0

Rustock.WA
Опубликовано
https://www.virustotal.com/ru/file/7fa54fe6...sis/1372326180/

4 антивируса пишут, что это бэкдор, но это явно не бэкдор. Как вы думаете, почему эти антивирусы выдают такой вердикт ? Почему они пишут, что там именно бэкдор ? Разве эта программа выполняет что-то характерное для бэкдоров ?

Такое название мог дать авто-дятел по опред. характеристикам работы. Для бэкдора есть свойственные характеристики поведения. Каспер дал ему червя. Не большая разница. Есть там название IRCBot, тоже нет так далеко. Функционал похож, просто одни вендоры посчитали наиболее вероятным поведение бэкдора, другие червя и т.д. Кто-то из них вручную разбирал, кто-то автоматом. Думаю, автоматы и дали такую "разность".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Anmawe    5

Anmawe
Опубликовано

Как вы думаете, почему антивирусы то называют малварью всякие кряки и кейгены, то пишут "угроз не обнаружено" ? Тут писали когда-то, что у каждого вирлаба своя политика что и как детектить. В таком случае все кряки, кейгены, трейнеры для игр тогда бы называли малварью (троянской программой) . Причем некоторые сканеры пишут "малваря" даже с выключенным эвристическим анализом. Но не все антивирусы и не всегда называют их вредоносным ПО .

На официальном форуме Доктор веба мне писали, что у них кряки и кейгены не попадают под категорию вредоносных. Хотя я много раз видел, как сканер Доктор веба писал, что в кряке якобы троян, причем конкретный, например Trojan-PSW . И слова probably нет, то есть это сигнатурный анализ как я понимаю.

Если написано HEUR Susp probably то я понимаю, почему срабатывание может быть ложным. А когда сканер выдает конкретное название вируса или трояна - откуда такой вердикт берется ? Это сигнатурный анализ ? Может быть ложное срабатывание у сигнатурного анализа ?

Установил тут Nano антивирус посмотреть, что это такое, он, например not-a-virus:RemoteAdmin посчитал инфицированным, а не потенциально опасным. Дал конкретное название трояна .

Я им файл отправил в их вирлаб, теперь антивирус пишет, что угроз не обнаружено.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Причем некоторые сканеры пишут "малваря" даже с выключенным эвристическим анализом. Но не все антивирусы и не всегда называют их вредоносным ПО .

 

Странное заключение. Malware - это прямой перевод "вредоносные программы". Под определение malware попадают любые программы, которые облажают диструктивной или нежелательной деятельностью. Т.е. malware = viruses + trojans + backdoors + ... + spayware + adware etc.

 

. А когда сканер выдает конкретное название вируса или трояна - откуда такой вердикт берется ? Это сигнатурный анализ ? Может быть ложное срабатывание у сигнатурного анализа ?

 

Если вердикт точный, то это говорит о наличии сигнатуры. К какому семейству или классу вредоносных программ относить тот или иной сампл решает каждый вендор, зачастую даже конкретный вирусный аналитик.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор домашних средств защиты

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.1.14.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      santy Я бы ввёл лимит - одна новая тема в сутки и всё... Кстати говоря - по поводу ИИ - я там недавно в разделе: Новые функции в ***  написал, но видимо из-за спамеров никто не читал... А между тем...
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Увы, нет технологий по противодействию спамеров на техническом форуме. По идее, после дублирования нескольких тем с одинаковым контентом учетка должна автоматически заблокироваться, и темы все автоматически удаляться через несколько дней. Где же ты ИИ? :). Спасение форума от спамеров не есть дело рук самих топик стартеров.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> ) 1. Предлагаю добавить в меню: Запрос к ИИ 2. Автоматически добавлять ЭТО в подозрительные. Что можно получить при разборе в ИИ. ___Ответ ИИ: ___ Резюме Анализ вредоносной строки из лога FRST   * *Суть записи:* Данная строка представляет собой запись из лога
          программы FRST (Farbar Recovery Scan Tool) и указывает на активное
          вредоносное ПО на компьютере.
        * *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует
          легитимный браузер Microsoft Edge, маскируясь под него измененным
          именем. Оригинальный файл браузера должен называться |msedge.exe|.
          Имя |Msproedg.exe| не используется ни одним легальным софтом в мире.
        * *Аномалия размещения:* Вирус прописан в планировщике задач в ветке
          |Microsoft\Windows\Autochk|. В норме эта ветка отвечает
          исключительно за диагностику файловой системы при загрузке
          компьютера и может содержать всего одну легальную задачу — |Proxy|.
          Задача с именем |KeyPreair| здесь нелегальна.
        * *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ).
          Размер оригинального браузера измеряется в мегабайтах, а не в
          килобайтах.
        * *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|.
          Вирус намеренно использует технику подделки даты, чтобы скрыться от
          антивирусных сканеров, которые ищут недавно измененные файлы.
        * *Скомпрометированная цифровая подпись:*
            o В логе отображается строка: |(Microsoft 3rd Party Application
              Component -> )|.
            o Сертификат |Microsoft Windows Third Party Application Component|
              (и его сокращенный вариант) действительно существует. Это
              легальный сертификат Microsoft для подписи софта сторонних
              разработчиков, который официально интегрируется в систему
              (компоненты Teams, DirectX).
            o У оригинального браузера Edge подпись всегда выглядит как
              |(Microsoft Corporation)|. В данном же случае пустая стрелочка в
              конце |-> )| показывает цепочку доверия Authenticode.
            o В легальном файле FRST проверяет издателя и замыкает цепочку:
              |(Microsoft 3rd Party Application Component -> Microsoft
              Corporation)|. Пустота после стрелки в вашем логе — это
              технический признак того, что вирус скопировал чужой блок
              подписи, но криптографическая проверка Authenticode провалилась.      
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      demkd Если так с рекламой на форуме продолжиться - форум закроют :)
×