Перейти к содержанию
BeAsT

Как некоторые вендоры паразитируют на работе чужих вирлабов

Recommended Posts

BeAsT

Недавно обнаружил файлик который детектился Касперским... посмотрел его, а это оказывается русифицированная программа Sateira версии 2.52, распаковал (NSPACK+UPX), смотрю, а распакованный то и не детектит...

Я не успел этот момент запечитлить, так как через несколько часов уже исправились касперы(фолс аларм убрали)... ну ладно бог с ними с касперами, с кем не бывает да и то...

Но вы посмотрите на этих попугаев во вложении(прога на дельфи написано, кто в теме -- Пигеон тоже на дельфе)

И вы их тестируете, говорите, что у авиры лучший детект?? Я тоже могу написать такой антивирус ;-)

Да я бы даже не брал эти антивирусы в расчёт!!! Они не анализируют сами!!! В здравом уме, если человек нормальный и анализирует сам, он низачто не добавит такую штуку в базу...

Кому интересно вот файл:http://slil.ru/24872606

З.Ы. Утром Касперы детектили, вечером видим -- нет.

З.Ы.Ы. Еще смотрим на Ф-Секур,(для тех кто в теме это касперского движек и базы видать тоже) они ещё не успели исправить. У каспера тоже называлось как "Trojan-Downloader.Win32.Agent.dkh"

packed.PNG

post-3827-1190130854.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Пигеон тоже на дельфе

Вы хотите сказать Хупигон?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Пигеон тоже на дельфе

Вы хотите сказать Хупигон?

BackDoor.Pigeon (Dr.Web) = BackDoor.Win32.Hupigon (Kaspersky)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Вы, собственно, ничего не открыли.. это общеизвестный факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BeAsT

NickGolovko: Лично вам неоткрыл. ;) Просто хочу что бы и другие пользователи тоже это знали и брали в расчёт при просмотрет тестов типа "меряния пи..." извините за выражение, и не говорили, а вот смотрите Авира тут всех дергает )))), зачем клементий вообще этот тест провел -- бред имхо!

Да и то если не открыл зачем такие антивирусы участвут в тестах? :) Или вы считаете это нормой?

Storm, почему вы всегда ориентируетесь на классификацию Касперских? :) Я конечно почти)) ничего против них не имею, но всё же. ;-) Они с кем нибудь договаривались о единой классификаци? Или может быть их классификация чем-то лучше? просто интересно :)) Или они боги? :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
почему вы всегда ориентируетесь на классификацию Касперских?

Я просто посмотрел на скрин и насчитал там дофига Хупигонов. Как зовется это вирь по Др. Вебу я не знал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

BeAsT, это называется "Ложное срабатывание", и бывает довольно часто и у многих. К сожалению ежедневный приток зловредов сегодня таков, что ни одна антивирусная компания не справится с "качественным" ручным анализом каждого такого сеэмпла. Мы как то на досуге считали, для такого анализа должен быть штат несколько сот (500-700) вирусных аналитиков, может у Симантека столько и работает ;)

Часто работает автоматизация, а дальше человек, который её должен контролировать, но поскольку в 99.99% автомат отрабатывает корректно, то человек-контролёр идёт на поводу программы и пропускает ошибку.

А вообще от ложняков никуда не денешься, смиритесь, и просто рапортуйте в соответствующие АВЛабы о ложном срабатывании, пусть фиксят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В данном случае это не выглядит как простое ложное срабатывание.

У Касперских был ложняк, но все остальные то почему так массово на нем сфолсили тоже?

IMHO Наглядная иллюстрация того, как некоторые вендоры паразитируют на работе чужих вирлабов. Это, конечно, помогает выиграть тесты Андреаса Клименти, в чьей коллекции куча мусора (у кого ее нет?), но жизнь пользователям портит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Рассказываю как это бывает у нас.

Есть какой то файл, мусор, возможно огрызок, возможно какая то непонятная библиотека да ещё и попакованная чем то. Какой то из авторитетных антивирусов её детектит как троян. Мы принимаем решение - не будем её детектить, так как ничего вредоносного в ней не видим.

И тут какой то тест. И в этом тесте мы эту библиотеку пропускаем и нам это засчитывают как пропущенный файл (то есть процент детекта считается меньше). Соответственно на нас давит начальство (маркетологи, пиарщики, пользователя) - добавьте, не выёживайтесь, вам это ничего не стоит а процент детекта на разных тестах поднимет. И под давлением "авторитетов" приходися добавлять :(

А теперь представьте всё это в ежедневном потоке вирусов, после нескольких подобных случаев. Конечно же, дабы более такого не возникало мы будем просто молча добавлять :(

В своё время Женя Касперский точно сказал - легче добавить, чем объяснять почему не добавили.

П.С. Из всего этого напрашивется вывод - вот такие вот некачественные тесты (где гоняется всякий мусор) подстёгивают антивирусные компании этот мусор детектировать и раздувать свои базы.

П.П.С. А в спешке среди этого мусора в базы попадают и чистые файлы. Такие вещи обычно на выходном тестировании контролируются, но все случаи не отловишь :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BiTA

2BeAst

BeAsT, это называется "Ложное срабатывание"

...

просто рапортуйте в соответствующие АВЛабы о ложном срабатывании, пусть фиксят.

:)

IMHO Наглядная иллюстрация того, как некоторые вендоры паразитируют на работе чужих вирлабов. Это, конечно, помогает выиграть тесты Андреаса Клименти, в чьей коллекции куча мусора (у кого ее нет?), но жизнь пользователям портит.

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zyx

Вот - в тему:

Недавно ad-adware начала обнаруживать у меня на компе ldPinch в файлике menu.dll.

Решил перепроверить на вирус тотале:

Антивирус Версия Обновление Результат

AhnLab-V3 2007.9.5.0 2007.09.06 -

AntiVir 7.6.0.5 2007.09.06 -

Authentium 4.93.8 2007.09.06 W32/Trojan.BPOL

Avast 4.7.1029.0 2007.09.05 -

AVG 7.5.0.485 2007.09.06 -

BitDefender 7.2 2007.09.06 Trojan.Horse.Pws.Ldpinch.DQY

CAT-QuickHeal 9.00 2007.09.05 -

ClamAV 0.91.2 2007.09.06 -

DrWeb 4.33 2007.09.06 -

eSafe 7.0.15.0 2007.09.04 -

eTrust-Vet 31.1.5114 2007.09.06 -

Ewido 4.0 2007.09.05 -

FileAdvisor 1 2007.09.06 Low threat detected

Fortinet 3.11.0.0 2007.09.06 -

F-Prot 4.3.2.48 2007.09.06 W32/Trojan.BPOL

F-Secure 6.70.13030.0 2007.09.06 W32/LdPinch.IYH

Ikarus T3.1.1.12 2007.09.06 Trojan.Horse.Pws.Ldpinch.DQY

Kaspersky 4.0.2.24 2007.09.06 -

McAfee 5113 2007.09.05 -

Microsoft 1.2803 2007.09.06 -

NOD32v2 2508 2007.09.06 -

Norman 5.80.02 2007.09.05 W32/LdPinch.IYH

Panda 9.0.0.4 2007.09.06 Suspicious file

Prevx1 V2 2007.09.06 -

Rising 19.39.32.00 2007.09.06 -

Sophos 4.21.0 2007.09.06 -

Sunbelt 2.2.907.0 2007.09.06 Trojan.Horse.Pws.Ldpinch.DQY

Symantec 10 2007.09.06 -

TheHacker 6.1.9.179 2007.09.06 -

VBA32 3.12.2.4 2007.09.06 -

VirusBuster 4.3.26:9 2007.09.05 -

Webwasher-Gateway 6.0.1 2007.09.06 -

(прашу пращения, сама страница не сохранилась)

Удалил....

А потом порылся в интернете - это проблема коснулась многих, точнее всех пользователей мейл агента 4.8

Чистейшей воды фолс аларм.

З.Ы.

Если погуглить, то можно найти множество топиков на эту тему!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
почему вы всегда ориентируетесь на классификацию Касперских? :) Они с кем нибудь договаривались о единой классификаци? Или может быть их классификация чем-то лучше?

Меня устраивает класификация Касперских по одной простой причине - о каждом вирусе классифицируемом КАВ можно почитать подробное инфо в инете. Зачастую по названию, которое высвечивают другие антивиры в вирустотале Гугл выдает 0 ссылок.

Меня тоже инетерсует вопрос классификации. Кстати, по ней можно судить (по результатм вирустотала) кто чьи базы использует. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BeAsT
антивирусная компания не справится с "качественным" ручным анализом каждого такого сеэмпла. Мы как то на досуге считали, для такого анализа должен быть штат несколько сот (500-700) вирусных аналитиков

В корне не согласен. Это ж как так надо считать?

Даже если в день приходит примерно 1000врусов а каждый аналитик делает хотя бы по 5(а эта цифра гораздо больше думается мне ;) )

то уже всего двести человек надо ;)

З.Ы. когда нить заходили на live.drweb.com?

А вообще от ложняков никуда не денешься, смиритесь, и просто рапортуйте в соответствующие АВЛабы о ложном срабатывании, пусть фиксят.

Здесь не просто ложное срабатывание читайте пост Сергея Ильина.

А теперь представьте всё это в ежедневном потоке вирусов, после нескольких подобных случаев. Конечно же, дабы более такого не возникало мы будем просто молча добавлять

Зря!

В своё время Женя Касперский точно сказал - легче добавить, чем объяснять почему не добавили.

Плохой лозунг.

П.С. Из всего этого напрашивется вывод - вот такие вот некачественные тесты (где гоняется всякий мусор) подстёгивают антивирусные компании этот мусор детектировать и раздувать свои базы.

Бить за такие тесты нужно! А не заставлять свой антивирь детектить некоторые семплы. Ещё раз повторяю... хоти те я напишу такой же замечательный антивирус? ;)

о каждом вирусе классифицируемом КАВ

)))) Ну не смишите... Дай те мне пожалуйста описание:

какого-нибудь Backdoor.Win32.Rbot

или какого-нибудь

Trojan-Spy.Win32.Zbot

или какого-нибудь

Trojan-PSW.Win32.Maran

или может одного из десятвков тысяч

Trojan-Downloader.Win32.VB

одного хотя бы из тысяч

Trojan.Win32.Delf

или одного из милионнов

Trojan.Win32.Agent

Вы просто хотели сказать "некоторых вирусов".

а самых распространенных есть описание и у других компаний у того же симантека или доктор веба(http://info.drweb.com/virus_description/26996)

Кстати, забыл частично снять обвинения с Макафи и Софоса они детектят это как упакованный файл... (макафи просит сообщить им лабораторию...:) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Даже если в день приходит примерно 1000врусов а каждый аналитик делает хотя бы по 5(а эта цифра гораздо больше думается мне )

то уже всего двести человек надо

Тысяча - цифра с потолка? По заявлению Олега Зайцева в день бывает 300-500 уникальных зловредов. Большинство из них обрабатываются аппаратно-программными комплексами диагности и лишь малая часть человеком. Поэтому нигде 200 человек не работают. Их еще найти надо, думаете такое простое дело? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
В корне не согласен. Это ж как так надо считать?

Даже если в день приходит примерно 1000врусов а каждый аналитик делает хотя бы по 5(а эта цифра гораздо больше думается мне )

Ну давайте считать, коль на то пошло. Количество приходящих на анализ файлов (не зловредов, а файлов, так как по умолчанию, если не "паразитируют на работе чужих вирлабов", то статус файла нам не известен.

С одного только VirusTotal на анализ вендорам приходит более 1000 (!) файлов в день (и кстати уже с отчётами других антивирусов по этому файлу).

Далее. Покажите мне вирлаб, в котором работает 200 вирусных аналитиков! 20 - поверю, и то не у всех.

Плохой лозунг.

А Вы бы побыли в нашей шкуре, да поглядели как оно. Огромное количество пользователей не разделяет Ваше мнение :(

Бить за такие тесты нужно! А не заставлять свой антивирь детектить некоторые семплы

Согласен на 100%. Возглавите компанию гнобления подобных тестов? ;)

Ещё раз повторяю... хоти те я напишу такой же замечательный антивирус?

Ну поверьте мне, антивирусные компании не работают только такими методами. Просто это вынужденная мера. Поверьте - никто этого не приветствует, но уж слишком велико давление типа "а почему это вот они видят, а вы нет", и так каждый день, много раз. Измините менталитет пользователей и тестировщиков, убейте все темы типа "А вот у меня 100тыщ вирусов, так вот антивирус Х пропустил 1000 файлов, а антивирус Y нашёл все. Значит Y лучше."

Большинство из них обрабатываются аппаратно-программными комплексами диагности

Вот об этом и речь. И эти комплексы (а они то заточены и обучены) могут частенько ошибаться :( И ошибаются.

И последний, третий нюанс.

Был у нас случай: пришёл троян, при заражении в систему он дропал несколько библиотек. Аналитики наши в пылу борьбы либы тоже добавили на детект и вынос. А потом оказалось что одна из этих библиотек принадлежит какому то малоизвестному P2P-клинту. В результате - False alarm.

Это я к тому, что и ручной анализ может давать фалсы в некоторых ситуациях. Ведь не все же аналитики такие башковитые. Есть реальные ресёрчеры, а есть "дятлы", долбящие однообразные зловреды, и вот эти дятлы бывают хуше автоматизированных программно-аппаратных комплексов ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Бить за такие тесты нужно! А не заставлять свой антивирь детектить некоторые семплы. Ещё раз повторяю... хоти те я напишу такой же замечательный антивирус?

Тесты на качество детектирования сейчас все такие, коллекции очень большие, полученные из разных источников. Проверить каждый из сотни тысяч образцов нет возможности, никто этим не занимается. Используют коллекции "как есть".

Именно поэтому в тестах на качество детектирования не так важна разница в 1-2%, важнее качественные отличия на 10% и более.

Кстати, именно по причине заведомо низкой достоверности из-за качества коллекций Anti-Malware.ru не проводит свои тесты на детектирование. Не соотвествует высокому уровню качества, которого мы стараемся придерживаться. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Сергей Ильин

Именно за это я ваши тесты и уважаю. Считаю что приблизительно так тестирования антивирусов проводить и надо. Но с горе-тестировщиками на больших, левых, мусорных коллекциях мы пока ничего поделать не можем.

P.S. Кстати Клементи тоже на большой коллекции тестит, и никто не может быть уверенн в чистоте той коллекции :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Вы просто хотели сказать "некоторых вирусов".

Наверняка вы правы. Просто классификация КАВ как по мне, более удобна. Информация на русском языке, что для меня очень важно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> почему вы всегда ориентируетесь на классификацию Касперских?

Названия/классификация малвар ни под один ГОСТ не попадает, и меня, как учившегося на факультете стандартизации/сертификации, это сильно коробит :-) Выкладками от ISO тут естесно и не пахнет, но тем не менее Касперский пытается более-менне систематизировать поток заразы, причем никому он свою классификацию не навязывает.

У касперского все просто и четко в классификации: [поведение].[платформа].[имя].[версия]

Разве W32/Hooy о чем-то говорит? А вот Trojan-Downloader.Win32.Hooy.abc даже без описания на сайте сразу скажет не самому бестолковому обывателю, что это троянская к0чалка под винду, и довольно популярная, судя по версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если паразитировать, то лучше для виду имена то менять на свои доморощенные :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

А как вам что-то вроде типа:

Win32.Троян.Бэкдор.Агент.911

т.е. обозначать на русском.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

ice-berg

Интересная идея, но если планировать выход за рамки СНГ (учавствовать в тестах, в том числе на том же вирустотале)? Может лучше таки оставить латиницу? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Имхо русский там коряво смотрится. Не в обиду великому и могучему =) Особенно учитывая что:

1. Win32 - это не по-русски и не может быть по-русски

2. Троян - это сленг, а точнее просто "транслит" с английского

3. Бэкдор - это чистый "транслит" с английского

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Win32.Троян.Бэкдор.Агент.911

Не путайте. Backdoor/Trojan - это любимый вердикт другого, хоть и известного вендора.

Да и платформа в описании должна идти после поведения :)

> Если паразитировать, то лучше для виду имена то менять на свои доморощенные

Уже было бы не плохо - но это людской труд, а людей не хватает как обычно :(

Та же авира особо не заморачиваясь, все файлы, приходящее по обмену коллекциями (и почему ее еще все не выкинули из списков?) детектит роботом с вердиктами тех кто прислал коллекцию, так что у нее есть в базах и Trojan-Downloader и W32/TR и прочая нечесть, благо все коллекционное уже оттесчено коллегами и эту работу без боязни можно доверить роботу =) Перепакованых, задетекченных блокнотов чтоли им вывалить пару тысяч в следующий раз, мы-то детект уберем в тот-же день...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
×