Почему файл определяется как потенциально опасное ПО ? - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
VSM

Почему файл определяется как потенциально опасное ПО ?

Автор VSM, в Общий форум по информационной безопасности

Recommended Posts

VSM    17

VSM
Опубликовано

Есть файл "1.exe" , который определяется антивирусами как потенциально опасное ПО https://www.virustotal.com/ru/file/31a3140253bc8a2a753bdd99e1d51fa1bd53f6dbd47db447a7c7c4a81b414fd6/analysis/1486460650/

http://online4.drweb.com/cache/?i=9dcfe2dd4e7d4aed397da9ac0aebed4f (1.exe` contains a potentially dangerous software Program.VKontakteDJ.14)

Если файл "1.exe" открыть как архив с помощью 7-zip, то можно увидеть, что "1.exe" содержит 6 файлов, один из которых называется "VKontakte-DJ.exe", на который ругаются только 2 антивируса https://www.virustotal.com/ru/file/35fbf0379ed2c13de10af7c8d67c49720539e14058a302a520f2f8b7877636c0/analysis/ . 

Почему "1.exe" определятся как "содержащий потенциально опасную программу ""VKontakteDJ"", хотя сам "VKontakteDJ.exe" не определяется, как потенциально опасная программа ? Какие у вас предположения ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Детект Sheur4.Cmev у VKontakte-DJ.exe похоже на срабатывание эвристики, тут нет четкого детекта. Выглядит как ложное срабатывание.

Вендоры просто не стали заморачиваться и сделали детект на 1.exe. Точнее кто-то один сделал (мое предположение, что это бы DrWeb, него четкий осмысленный детект), а другие этот детект украли "на всякий случай". 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • Ego Dekker
      Удаление антивирусов ESET

      От Ego Dekker · Опубликовано

      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
×