Каким антивирусам можно верить ?

[Dale Northrop 11]

Вы о чем вообще? Товарищ разницу между вормом и трояном ищет

Я написал к посту в самом начале. Потом уже стало понятно, что речь о другом.

По поводу разницы:

[Anmawe 5]

https://www.virustotal.com/ru/file/7fa54fe6...sis/1372326180/

4 антивируса пишут, что это бэкдор, но это явно не бэкдор. Как вы думаете, почему эти антивирусы выдают такой вердикт ? Почему они пишут, что там именно бэкдор ? Разве эта программа выполняет что-то характерное для бэкдоров ?

[Rustock.WA 0]

https://www.virustotal.com/ru/file/7fa54fe6...sis/1372326180/

4 антивируса пишут, что это бэкдор, но это явно не бэкдор. Как вы думаете, почему эти антивирусы выдают такой вердикт ? Почему они пишут, что там именно бэкдор ? Разве эта программа выполняет что-то характерное для бэкдоров ?

Такое название мог дать авто-дятел по опред. характеристикам работы. Для бэкдора есть свойственные характеристики поведения. Каспер дал ему червя. Не большая разница. Есть там название IRCBot, тоже нет так далеко. Функционал похож, просто одни вендоры посчитали наиболее вероятным поведение бэкдора, другие червя и т.д. Кто-то из них вручную разбирал, кто-то автоматом. Думаю, автоматы и дали такую "разность".

[Anmawe 5]

Как вы думаете, почему антивирусы то называют малварью всякие кряки и кейгены, то пишут "угроз не обнаружено" ? Тут писали когда-то, что у каждого вирлаба своя политика что и как детектить. В таком случае все кряки, кейгены, трейнеры для игр тогда бы называли малварью (троянской программой) . Причем некоторые сканеры пишут "малваря" даже с выключенным эвристическим анализом. Но не все антивирусы и не всегда называют их вредоносным ПО .

На официальном форуме Доктор веба мне писали, что у них кряки и кейгены не попадают под категорию вредоносных. Хотя я много раз видел, как сканер Доктор веба писал, что в кряке якобы троян, причем конкретный, например Trojan-PSW . И слова probably нет, то есть это сигнатурный анализ как я понимаю.

Если написано HEUR Susp probably то я понимаю, почему срабатывание может быть ложным. А когда сканер выдает конкретное название вируса или трояна - откуда такой вердикт берется ? Это сигнатурный анализ ? Может быть ложное срабатывание у сигнатурного анализа ?

Установил тут Nano антивирус посмотреть, что это такое, он, например not-a-virus:RemoteAdmin посчитал инфицированным, а не потенциально опасным. Дал конкретное название трояна .

Я им файл отправил в их вирлаб, теперь антивирус пишет, что угроз не обнаружено.

[Сергей Ильин 1538]

Причем некоторые сканеры пишут "малваря" даже с выключенным эвристическим анализом. Но не все антивирусы и не всегда называют их вредоносным ПО .

 

Странное заключение. Malware - это прямой перевод "вредоносные программы". Под определение malware попадают любые программы, которые облажают диструктивной или нежелательной деятельностью. Т.е. malware = viruses + trojans + backdoors + ... + spayware + adware etc.

 

. А когда сканер выдает конкретное название вируса или трояна - откуда такой вердикт берется ? Это сигнатурный анализ ? Может быть ложное срабатывание у сигнатурного анализа ?

 

Если вердикт точный, то это говорит о наличии сигнатуры. К какому семейству или классу вредоносных программ относить тот или иной сампл решает каждый вендор, зачастую даже конкретный вирусный аналитик.