Личный вирусный аналитик

[Сергей Ильин 1538]

А если для обычных пользователей, то вообще малопонятна ситуация с идеей "частного вирусного аналитика" (он зачем вообще?), т.к если пролечить комп надо - на вирусинфо (и других подобных форумах) бесплатно помогут - будут до упора ковырять логи, сделать новые и т.д до полного искоренения всей заразы. Если понять, что за файл - ответит либо вирлаб какой-то, либо форумное сообщество...

Согласен полностью. Простого юзера малоинтересует, что за зверь и что он мог сделать. Он проверяет "карманы", какие-то важные файлы. Если все ОК, то успокаивается. Главное что ничто больше не беспокоит. Поэтому такая услуга изначально интересна только бизнесу. Корпоратив уже фактически покрыт, остается SMB. Вот там пока реально никого нет и массовый сервис мог бы пойти.

[Anmawe 5]

Если на нашем сайте не нашлось подходящего описания обнаруженного на вашем компьютере детектируемого объекта, вы можете оставить запрос к антивирусной лаборатории Касперского на создание и публикацию на сайте интересующего вас описания.

Скажите пожалуйста, я могу отправлять сколько угодно запросов на публикацию на сайте интересующего меня описания (разумеется, если есть лицензионный ключ) ? Ответы быстро приходят ? Есть клиенты, которые пишут на форумах, что ответ от техподдержки приходит нескоро или не приходит.

Описание делает программа или вирусный аналитик (живой человек) ?

Обычно мнения вирусных аналитиков из лабораторий Dr Web, Kaspersky, и Eset Nod совпадают. Но иногда бывают разногласия.

Хотелось бы узнать, в чем трейнер для игры "провинился" (его называют троянской программой) перед Лабораторией Касперского (Trojan-FakeAV.Win32.AdwareRemover.fb) ( https://www.virustotal.com/ru/file/4b839dc4...sis/1401118312/ ) ? Есть еще файл, который почему-то Касперский называет Trojan.Refroso . (отчет virustotal и письмо из вирлаба ) .

У вирусного аналитика Владимира Мартьянова из лаборатории Dr Web иногда "не совпадает" мнение с вирусным аналитиком из лаборатории Касперского . У меня доверие сложилось к Владимиру Мартьянову. Вирусных аналитиков из Лаборатории Касперского я тоже уважаю, но иногда не понимаю, почему они называют программу троянской, а не потенциально опасной.

[K_Mikhail 807]

Описание делает программа или вирусный аналитик (живой человек) ?

Когда как. Чаще робот по рез-там отработки файла в т.н."песочнице" - выводится отчёт действий, которые выполняет исследуемая программа.

Обычно мнения вирусных аналитиков из лабораторий Dr Web, Kaspersky, и Eset Nod совпадают. Но иногда бывают разногласия.

Хотелось бы узнать, в чем трейнер для игры "провинился" (его называют троянской программой) перед Лабораторией Касперского (Trojan-FakeAV.Win32.AdwareRemover.fb) ( https://www.virustotal.com/ru/file/4b839dc4...sis/1401118312/ ) ? Есть еще файл, который почему-то Касперский называет Trojan.Refroso . (отчет virustotal и письмо из вирлаба ) .

У вирусного аналитика Владимира Мартьянова из лаборатории Dr Web иногда "не совпадает" мнение с вирусным аналитиком из лаборатории Касперского . У меня доверие сложилось к Владимиру Мартьянову. Вирусных аналитиков из Лаборатории Касперского я тоже уважаю, но иногда не понимаю, почему они называют программу троянской, а не потенциально опасной.

На сам файл надо будет немного пристальней посмотреть, но здесь зиждется вопрос политический - просто есть куча всяких "оптимизаторов реестра"\"адваре-хантеров-бастеров-клинеров" и.т.п., причём даже подписанных, и всё зависит от решения конкретного человека. Допустим, вот файлы, имеющие подпись Ebiz Networks Corp., ловятся Dr.Web как Trojan.Fakealert, но не ловятся другими именитыми участниками, тем же KL. Правда, по их базе чистых файлов эти объекты тоже не опознаются:

https://www.virustotal.com/ru/file/73465136...sis/1401135767/

https://www.virustotal.com/ru/file/30cff58d...sis/1401135781/

https://www.virustotal.com/ru/file/55eb307a...sis/1401135751/

[Dmitriy K 603]

На сам файл надо будет немного пристальней посмотреть...

При запуске дропает 3 файла в папку C:\Windows\SysWOW64 (C:\Windows\System32):

1. game.jpg

2. SCS.dll https://www.virustotal.com/ru/file/f6b1fee1...sis/1401138365/

3. SCX.dll https://www.virustotal.com/ru/file/e51322b7...sis/1401138372/

Всем файлам зачем-то ставит атрибут "скрытый".

[K_Mikhail 807]

При запуске дропает 3 файла в папку C:\Windows\SysWOW64 (C:\Windows\System32):

1. game.jpg

2. SCS.dll https://www.virustotal.com/ru/file/f6b1fee1...sis/1401138365/

3. SCX.dll https://www.virustotal.com/ru/file/e51322b7...sis/1401138372/

Всем файлам зачем-то ставит атрибут "скрытый".

А дальше? Что-то ещё делает из стандартного ряда действий, характерных для FakeAV?

[Dmitriy K 603]

А дальше? Что-то ещё делает из стандартного ряда действий, характерных для FakeAV?

Не замечено. Файл скинуть?

[K_Mikhail 807]

Не замечено. Файл скинуть?

Да, пожалуйста. Thnx!

[K_Mikhail 807]

Судя по всему, программка для читов для игрулины Dragon Rizing. Пытается отслеживать события клавиатуры, что как раз связано с её осн. функционалом - читкодами.

Сие явно на FakeAV не похоже. Рекламу тоже не крутит и из внешних источников её не подтягивает.

В автозагрузку не прописывается. При закрытии программы удаляет свои файлы, которые сбрасывает в system32 при своём запуске (см. сообщение Dmitriy K). Сайт sicheats.com, который указан в меню About, не работает.

В целом согласен с мнением В.Мартьянова, что данная программа не является вредоносной. Детект же KL, полагаю, сделан аналитическим роботом по совокупности действий: 1) сброс в системный каталог бинарных файлов, 2) присвоение им атрибута hidden (скрытый), 3) попытка отследить события клавиатуры.

Остальные же из списка детектирующих, скорее всего, просто сделали свой вердикт также на основании робото-вердиктов и из соображений trusted_to_kaspersky (такие вещи тоже встречаются даже у тех, кто весьма гордится своими авторскими технологиями отлова вредоносов. ).

[Anmawe 5]

Непонятно, почему робот ( или вирусный аналитик ) выносит именно такой вердикт - FakeAv, Troajn PWS (троян такой-то) и т.д. (у обоих вирлабов). Он не пишет HEUR, probably . Это, как я понимаю, сигнатурный анализ.

newvirus@kaspersky.com

кому: мне

Здравствуйте,

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Trojan-FakeAV.Win32.AdwareRemover.fb

Sincerely yours,

Vasilios Hioureas,

Junior Malware analyst.

Dr Web признает, что срабатывания ложные (те файлы, которые я им отсылал). Kaspersky не всегда признает. Ну, им виднее

[K_Mikhail 807]

Непонятно, почему робот ( или вирусный аналитик ) выносит именно такой вердикт - FakeAv, Troajn PWS (троян такой-то) и т.д. (у обоих вирлабов). Он не пишет HEUR, probably . Это, как я понимаю, сигнатурный анализ.

newvirus@kaspersky.com

кому: мне

Здравствуйте,

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Trojan-FakeAV.Win32.AdwareRemover.fb

Sincerely yours,

Vasilios Hioureas,

Junior Malware analyst.

Dr Web признает, что срабатывания ложные (те файлы, которые я им отсылал). Kaspersky не всегда признает. Ну, им виднее

Последний скан файла: https://www.virustotal.com/ru/file/4b839dc4...74633/analysis/

DrWeb Trojan.Siggen6.18279 20140616

Так, всё-таки, признаёт ложным или trusted_by_kis сработал?