Перейти к содержанию
Anmawe

Каким антивирусам можно верить ?

Recommended Posts

Dale Northrop
Вы о чем вообще? Товарищ разницу между вормом и трояном ищет :)

Я написал к посту в самом начале. Потом уже стало понятно, что речь о другом.

По поводу разницы: :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

https://www.virustotal.com/ru/file/7fa54fe6...sis/1372326180/

4 антивируса пишут, что это бэкдор, но это явно не бэкдор. Как вы думаете, почему эти антивирусы выдают такой вердикт ? Почему они пишут, что там именно бэкдор ? Разве эта программа выполняет что-то характерное для бэкдоров ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
https://www.virustotal.com/ru/file/7fa54fe6...sis/1372326180/

4 антивируса пишут, что это бэкдор, но это явно не бэкдор. Как вы думаете, почему эти антивирусы выдают такой вердикт ? Почему они пишут, что там именно бэкдор ? Разве эта программа выполняет что-то характерное для бэкдоров ?

Такое название мог дать авто-дятел по опред. характеристикам работы. Для бэкдора есть свойственные характеристики поведения. Каспер дал ему червя. Не большая разница. Есть там название IRCBot, тоже нет так далеко. Функционал похож, просто одни вендоры посчитали наиболее вероятным поведение бэкдора, другие червя и т.д. Кто-то из них вручную разбирал, кто-то автоматом. Думаю, автоматы и дали такую "разность".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Как вы думаете, почему антивирусы то называют малварью всякие кряки и кейгены, то пишут "угроз не обнаружено" ? Тут писали когда-то, что у каждого вирлаба своя политика что и как детектить. В таком случае все кряки, кейгены, трейнеры для игр тогда бы называли малварью (троянской программой) . Причем некоторые сканеры пишут "малваря" даже с выключенным эвристическим анализом. Но не все антивирусы и не всегда называют их вредоносным ПО .

На официальном форуме Доктор веба мне писали, что у них кряки и кейгены не попадают под категорию вредоносных. Хотя я много раз видел, как сканер Доктор веба писал, что в кряке якобы троян, причем конкретный, например Trojan-PSW . И слова probably нет, то есть это сигнатурный анализ как я понимаю.

Если написано HEUR Susp probably то я понимаю, почему срабатывание может быть ложным. А когда сканер выдает конкретное название вируса или трояна - откуда такой вердикт берется ? Это сигнатурный анализ ? Может быть ложное срабатывание у сигнатурного анализа ?

Установил тут Nano антивирус посмотреть, что это такое, он, например not-a-virus:RemoteAdmin посчитал инфицированным, а не потенциально опасным. Дал конкретное название трояна .

Я им файл отправил в их вирлаб, теперь антивирус пишет, что угроз не обнаружено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Причем некоторые сканеры пишут "малваря" даже с выключенным эвристическим анализом. Но не все антивирусы и не всегда называют их вредоносным ПО .

 

Странное заключение. Malware - это прямой перевод "вредоносные программы". Под определение malware попадают любые программы, которые облажают диструктивной или нежелательной деятельностью. Т.е. malware = viruses + trojans + backdoors + ... + spayware + adware etc.

 

. А когда сканер выдает конкретное название вируса или трояна - откуда такой вердикт берется ? Это сигнатурный анализ ? Может быть ложное срабатывание у сигнатурного анализа ?

 

Если вердикт точный, то это говорит о наличии сигнатуры. К какому семейству или классу вредоносных программ относить тот или иной сампл решает каждый вендор, зачастую даже конкретный вирусный аналитик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×