Антивирус NOD32 "перепутал" рекламу с вирусом

[Иван 290]

обратная сторона эвристика нод32

Антивирус NOD32 "перепутал" рекламу с вирусом

Источник: C-news # Новости (Москва)

Автор: БЕЗ АВТОРА

Дата: 5 июля 2007

Некорректная работа антивируса NOD32 вызвала замешательство среди пользователей этого антивируса, сообщает heiseSecurity. Антивирусное ПО сообщало пользователю об обнаружении трояна Tivso.14a.gen, столкнувшись с баннерами от serving-sys.com на каких-либо веб-страницах.

Скрипт eBannerMain_62_36.js интерпретировался NOD32 как опасный, что послужило причиной беспокойства большого количества пользователей, ведь такие баннеры широко распространены на популярных сайтах вроде Yahoo, MySpace и остальных порталов преимущественно новостной направленности.

После исследования этого скрипта специалисты установили, что он не несет никакой опасности. Компания ESET, разработчик NOD32, исправила эту проблему выпуском обновления антивируса до версии 2366. Сотрудники компании объяснили, что проблема возникла в результате схожести данного скрипта с обнаруженным ранее и добавленным в базу антивируса вредоносным кодом.

[Николай Головко 70]

Бывает.

[Ezhikkk 0]

У НОДа это редко бывает,в то время,как Касперу вирусы везде мерещатся!

[X3ro 0]

наверное вернее не "...эвристика...", а сигнатур, т.к. "ошибка" имеет точное название - Tivso.14a.gen

Эвристик у нода пишет Unknown_... или NewHeur_... или Probably a variant of...

[Dmitry Perets 30]

наверное вернее не "...эвристика...", а сигнатур, т.к. "ошибка" имеет точное название - Tivso.14a.gen

Эвристик у нода пишет Unknown_... или NewHeur_... или Probably a variant of...

Это имхо generic-детект всё же. Сужу по окончанию ".gen". Т.е. сигнатура-то есть, но не на конкретную модификацию, а на семейство. Видимо, случано "схватила" и непричастных к семейству.

[pROCKrammer 50]

У меня например Avira путает один html (ну где нету вирусов) файл с HEUR/Exploit.html

[SuperBrat 6]

У меня например Avira путает один html (ну где нету вирусов) файл с HEUR/Exploit.html

А другие по вирустотал?

[pROCKrammer 50]

Я послал этот файл на сайт авиры как FalsePosetive.

Antivirus Version Last Update Result

AhnLab-V3 2007.7.21.0 2007.07.23 no virus found

AntiVir 7.4.0.44 2007.07.23 HEUR/Exploit.HTML

Authentium 4.93.8 2007.07.20 no virus found

Avast 4.7.997.0 2007.07.22 no virus found

AVG 7.5.0.476 2007.07.22 no virus found

BitDefender 7.2 2007.07.23 no virus found

CAT-QuickHeal 9.00 2007.07.23 no virus found

ClamAV devel-20070416 2007.07.23 no virus found

DrWeb 4.33 2007.07.23 no virus found

eSafe 7.0.15.0 2007.07.22 no virus found

eTrust-Vet 31.1.5002 2007.07.23 no virus found

Ewido 4.0 2007.07.23 no virus found

FileAdvisor 1 2007.07.23 no virus found

Fortinet 2.91.0.0 2007.07.23 no virus found

F-Prot 4.3.2.48 2007.07.20 no virus found

F-Secure 6.70.13030.0 2007.07.23 no virus found

Ikarus T3.1.1.8 2007.07.23 no virus found

Kaspersky 4.0.2.24 2007.07.23 no virus found

McAfee 5079 2007.07.20 no virus found

Microsoft 1.2704 2007.07.23 no virus found

NOD32v2 2414 2007.07.23 no virus found

Norman 5.80.02 2007.07.23 no virus found

Panda 9.0.0.4 2007.07.23 no virus found

Sophos 4.19.0 2007.07.17 no virus found

Sunbelt 2.2.907.0 2007.07.21 no virus found

Symantec 10 2007.07.23 no virus found

TheHacker 6.1.7.152 2007.07.23 no virus found

VBA32 3.12.2.1 2007.07.23 no virus found

VirusBuster 4.3.26:9 2007.07.22 no virus found

Webwasher-Gateway 6.0.1 2007.07.23 Heuristic.Exploit.HTML