Перейти к содержанию
Anmawe

Каким антивирусам можно верить ?

Recommended Posts

Anmawe

https://www.virustotal.com/ru/file/1c25b23b...4ec34/analysis/

У антивирусов разный результат. У кого-то ничего нет, у кого-то Backdoor , Riskware, Trojan, HackTool, Trojan.Encoder , not-a-virus , Generic Trojan .

Что там на самом деле - безобидный кейген, или Backdoor , а может Trojan.Encoder ? Кому поверить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

без всяких поисков в инете можно по одному только отчету на ВТ сказать, что это кряк, а не энкодер или винлок.

а верить нужно симантеку, разумеется...:))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

что это кряк, а не энкодер или винлок

Откуда такая уверенность ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

HackTool там только в контексте Keygen и с определением кейген, там согласны больше половины антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. большинство аверов сходятся во мнении, что это кейген/хактул (одно и тоже)

2. файл первый раз залит был оочень давно, а детекта от каспера нет до сих пор, хотя этот файл мегапопулярен и не мог выпасть из поля зрения (видно что 25 раз как минимум его заливали)

3. самый изящный аргумент: его как нот-а-вирус детектит икарус, а он берет детекты у каспера, значит у каспера был такой детект когда-то, но файл настолько хороший, что даже этот детект они удалили...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

+ надо помнить, что у многих вендоров на virustotal включен параноидальный режим, и они всё что не белое по их облаку могут например метить как подозрительное с невразумительными вердиктами. при этом на тот же самый файл на пользовательских машинах никакого возбуждения не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

к своему предыдущему сообщению хочу добавить, что третий пункт лишь предположение с некоей долей вероятности...

DrGolova, имеешь в виду, что у некоторых там в конфиге прописан максимальный уровень эвристики или там реально некоторые детектят почти все подряд?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

http://whitelisting.kaspersky.com/advisor-...3ca71aa0ca78248 реально популярный файлик :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

2 раздачи

http://rutracker.org/forum/viewtopic.php?t=3684709

http://rutracker.org/forum/viewtopic.php?t=3613287 .

Касперский в обеих раздачах находит троянскую программу Trojan.Win32.Chifrax.a , эвристический анализ выключен . Nod находит потенциально опасную программу Hacktool . Разный вердикт на один и тот же файл. Авира тоже находит троян. Другие антивирусы (Avast, Comodo, Microsoft, AVG, Dr Web) ничего не обнаружили .

Неужели Касперский и Авира ошибаются и там нет трояна ? Максимум, что там может быть - Hacktool ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

f428350687.jpg

вообще то это первый запрос, за последние сутки, в чём может быть проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

+1 у меня тоже самое ;).

А также капчу можно было бы поставить более разборчивую.

05780789ea4e.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Рекапча же. Я так понимаю, это запросы с одноо IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Рекапча же. Я так понимаю, это запросы с одноо IP.

дык это понятно и моему коту, но каким образом, если я один раз обратился к этому ресурсу, ip у меня белый, если что)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> Неужели Касперский и Авира ошибаются и там нет трояна ?

Конкретно в этом случае ошибаются.

Вместо трояна там есть до безобразия модифицированный самораспаковывающийся RAR архив с перебитыми сигнатурами/русурсами пожатый сверху модифицированным UPX'ом.

Обычно так тщательно сбивают распаковку для распространения вовсе не ломаных игрушек =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> DrGolova, имеешь в виду, что у некоторых там в конфиге прописан максимальный уровень эвристики или там реально некоторые детектят почти все подряд?

Что у них там прописано мне не ведомо, но похоже, что я наврал - не могу воспроизвести прошлогодний опыт. Тогда реально несколько вендоров детектили все подряд свежескомпиленые файлы как suspicious.

Толи что-то поменялось, толи тогда что-то было сломано, но сейчас получаются только обычные сигнатурные фалсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
ip у меня белый, если что

От с того и стоило начинать :) Тогда не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Anmawe вы так сюда из-за каждого файла будете бегать спрашивать ?

По сабжу видно же по детектам, что ругаются на пакер - Packed.VMProtect

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
theon

ну верить антивирусу или нет, можно понять только после того, как сам долго юзаешь. сам могу посоветовать из бесплатных - они все приблизительно одинаковые, но если хочешь что-то понадежней, то покупай mcafe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov

Зачем покупать McAfee. Его и так бесплатно на пол года на каждом углу раздают (причём официально)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gerome

это если подфартит, а вы ж знаете когда срачка-гарячка? Новый девайс сразу хочется под себя сделать: все поставить красивенько, пленочки-приложения, забить сразу всю карту памяти)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Посты про разные ответы от вирлабов и обсуждение идеи личного вирусного аналитика выделены в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=26304

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

http://www.anti-malware.ru/forum/index.php...st&p=171256

Цитата

Конкретно в этом случае ошибаются.

Вместо трояна там есть до безобразия модифицированный самораспаковывающийся RAR архив с перебитыми сигнатурами/русурсами пожатый сверху модифицированным UPX'ом.

Обычно так тщательно сбивают распаковку для распространения вовсе не ломаных игрушек =)

( http://rutracker.org/forum/viewtopic.php?t=3613287 )

Из вирлаба касперского такое письмо пришло

Hello,

My apologies in the delay for getting back to you.

It turns out that this detection is correct. It is using an infected installer. We will not fix the detection.

Sincerely yours,

Paul Ambroso,

Junior Malware analyst.

_____________________

Kaspersky Lab

Bellevue, USA

39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В комментах доверяют файликоу .NFO и рекомендации выключить антивирус, но не доверяют антивирусу. Ну ладушки. Шифровальщики и до них дойдут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×