Перейти к содержанию
BeAsT

Как некоторые вендоры паразитируют на работе чужих вирлабов

Recommended Posts

BeAsT

Недавно обнаружил файлик который детектился Касперским... посмотрел его, а это оказывается русифицированная программа Sateira версии 2.52, распаковал (NSPACK+UPX), смотрю, а распакованный то и не детектит...

Я не успел этот момент запечитлить, так как через несколько часов уже исправились касперы(фолс аларм убрали)... ну ладно бог с ними с касперами, с кем не бывает да и то...

Но вы посмотрите на этих попугаев во вложении(прога на дельфи написано, кто в теме -- Пигеон тоже на дельфе)

И вы их тестируете, говорите, что у авиры лучший детект?? Я тоже могу написать такой антивирус ;-)

Да я бы даже не брал эти антивирусы в расчёт!!! Они не анализируют сами!!! В здравом уме, если человек нормальный и анализирует сам, он низачто не добавит такую штуку в базу...

Кому интересно вот файл:http://slil.ru/24872606

З.Ы. Утром Касперы детектили, вечером видим -- нет.

З.Ы.Ы. Еще смотрим на Ф-Секур,(для тех кто в теме это касперского движек и базы видать тоже) они ещё не успели исправить. У каспера тоже называлось как "Trojan-Downloader.Win32.Agent.dkh"

packed.PNG

post-3827-1190130854.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Пигеон тоже на дельфе

Вы хотите сказать Хупигон?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Пигеон тоже на дельфе

Вы хотите сказать Хупигон?

BackDoor.Pigeon (Dr.Web) = BackDoor.Win32.Hupigon (Kaspersky)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Вы, собственно, ничего не открыли.. это общеизвестный факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BeAsT

NickGolovko: Лично вам неоткрыл. ;) Просто хочу что бы и другие пользователи тоже это знали и брали в расчёт при просмотрет тестов типа "меряния пи..." извините за выражение, и не говорили, а вот смотрите Авира тут всех дергает )))), зачем клементий вообще этот тест провел -- бред имхо!

Да и то если не открыл зачем такие антивирусы участвут в тестах? :) Или вы считаете это нормой?

Storm, почему вы всегда ориентируетесь на классификацию Касперских? :) Я конечно почти)) ничего против них не имею, но всё же. ;-) Они с кем нибудь договаривались о единой классификаци? Или может быть их классификация чем-то лучше? просто интересно :)) Или они боги? :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
почему вы всегда ориентируетесь на классификацию Касперских?

Я просто посмотрел на скрин и насчитал там дофига Хупигонов. Как зовется это вирь по Др. Вебу я не знал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

BeAsT, это называется "Ложное срабатывание", и бывает довольно часто и у многих. К сожалению ежедневный приток зловредов сегодня таков, что ни одна антивирусная компания не справится с "качественным" ручным анализом каждого такого сеэмпла. Мы как то на досуге считали, для такого анализа должен быть штат несколько сот (500-700) вирусных аналитиков, может у Симантека столько и работает ;)

Часто работает автоматизация, а дальше человек, который её должен контролировать, но поскольку в 99.99% автомат отрабатывает корректно, то человек-контролёр идёт на поводу программы и пропускает ошибку.

А вообще от ложняков никуда не денешься, смиритесь, и просто рапортуйте в соответствующие АВЛабы о ложном срабатывании, пусть фиксят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В данном случае это не выглядит как простое ложное срабатывание.

У Касперских был ложняк, но все остальные то почему так массово на нем сфолсили тоже?

IMHO Наглядная иллюстрация того, как некоторые вендоры паразитируют на работе чужих вирлабов. Это, конечно, помогает выиграть тесты Андреаса Клименти, в чьей коллекции куча мусора (у кого ее нет?), но жизнь пользователям портит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Рассказываю как это бывает у нас.

Есть какой то файл, мусор, возможно огрызок, возможно какая то непонятная библиотека да ещё и попакованная чем то. Какой то из авторитетных антивирусов её детектит как троян. Мы принимаем решение - не будем её детектить, так как ничего вредоносного в ней не видим.

И тут какой то тест. И в этом тесте мы эту библиотеку пропускаем и нам это засчитывают как пропущенный файл (то есть процент детекта считается меньше). Соответственно на нас давит начальство (маркетологи, пиарщики, пользователя) - добавьте, не выёживайтесь, вам это ничего не стоит а процент детекта на разных тестах поднимет. И под давлением "авторитетов" приходися добавлять :(

А теперь представьте всё это в ежедневном потоке вирусов, после нескольких подобных случаев. Конечно же, дабы более такого не возникало мы будем просто молча добавлять :(

В своё время Женя Касперский точно сказал - легче добавить, чем объяснять почему не добавили.

П.С. Из всего этого напрашивется вывод - вот такие вот некачественные тесты (где гоняется всякий мусор) подстёгивают антивирусные компании этот мусор детектировать и раздувать свои базы.

П.П.С. А в спешке среди этого мусора в базы попадают и чистые файлы. Такие вещи обычно на выходном тестировании контролируются, но все случаи не отловишь :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BiTA

2BeAst

BeAsT, это называется "Ложное срабатывание"

...

просто рапортуйте в соответствующие АВЛабы о ложном срабатывании, пусть фиксят.

:)

IMHO Наглядная иллюстрация того, как некоторые вендоры паразитируют на работе чужих вирлабов. Это, конечно, помогает выиграть тесты Андреаса Клименти, в чьей коллекции куча мусора (у кого ее нет?), но жизнь пользователям портит.

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zyx

Вот - в тему:

Недавно ad-adware начала обнаруживать у меня на компе ldPinch в файлике menu.dll.

Решил перепроверить на вирус тотале:

Антивирус Версия Обновление Результат

AhnLab-V3 2007.9.5.0 2007.09.06 -

AntiVir 7.6.0.5 2007.09.06 -

Authentium 4.93.8 2007.09.06 W32/Trojan.BPOL

Avast 4.7.1029.0 2007.09.05 -

AVG 7.5.0.485 2007.09.06 -

BitDefender 7.2 2007.09.06 Trojan.Horse.Pws.Ldpinch.DQY

CAT-QuickHeal 9.00 2007.09.05 -

ClamAV 0.91.2 2007.09.06 -

DrWeb 4.33 2007.09.06 -

eSafe 7.0.15.0 2007.09.04 -

eTrust-Vet 31.1.5114 2007.09.06 -

Ewido 4.0 2007.09.05 -

FileAdvisor 1 2007.09.06 Low threat detected

Fortinet 3.11.0.0 2007.09.06 -

F-Prot 4.3.2.48 2007.09.06 W32/Trojan.BPOL

F-Secure 6.70.13030.0 2007.09.06 W32/LdPinch.IYH

Ikarus T3.1.1.12 2007.09.06 Trojan.Horse.Pws.Ldpinch.DQY

Kaspersky 4.0.2.24 2007.09.06 -

McAfee 5113 2007.09.05 -

Microsoft 1.2803 2007.09.06 -

NOD32v2 2508 2007.09.06 -

Norman 5.80.02 2007.09.05 W32/LdPinch.IYH

Panda 9.0.0.4 2007.09.06 Suspicious file

Prevx1 V2 2007.09.06 -

Rising 19.39.32.00 2007.09.06 -

Sophos 4.21.0 2007.09.06 -

Sunbelt 2.2.907.0 2007.09.06 Trojan.Horse.Pws.Ldpinch.DQY

Symantec 10 2007.09.06 -

TheHacker 6.1.9.179 2007.09.06 -

VBA32 3.12.2.4 2007.09.06 -

VirusBuster 4.3.26:9 2007.09.05 -

Webwasher-Gateway 6.0.1 2007.09.06 -

(прашу пращения, сама страница не сохранилась)

Удалил....

А потом порылся в интернете - это проблема коснулась многих, точнее всех пользователей мейл агента 4.8

Чистейшей воды фолс аларм.

З.Ы.

Если погуглить, то можно найти множество топиков на эту тему!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
почему вы всегда ориентируетесь на классификацию Касперских? :) Они с кем нибудь договаривались о единой классификаци? Или может быть их классификация чем-то лучше?

Меня устраивает класификация Касперских по одной простой причине - о каждом вирусе классифицируемом КАВ можно почитать подробное инфо в инете. Зачастую по названию, которое высвечивают другие антивиры в вирустотале Гугл выдает 0 ссылок.

Меня тоже инетерсует вопрос классификации. Кстати, по ней можно судить (по результатм вирустотала) кто чьи базы использует. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BeAsT
антивирусная компания не справится с "качественным" ручным анализом каждого такого сеэмпла. Мы как то на досуге считали, для такого анализа должен быть штат несколько сот (500-700) вирусных аналитиков

В корне не согласен. Это ж как так надо считать?

Даже если в день приходит примерно 1000врусов а каждый аналитик делает хотя бы по 5(а эта цифра гораздо больше думается мне ;) )

то уже всего двести человек надо ;)

З.Ы. когда нить заходили на live.drweb.com?

А вообще от ложняков никуда не денешься, смиритесь, и просто рапортуйте в соответствующие АВЛабы о ложном срабатывании, пусть фиксят.

Здесь не просто ложное срабатывание читайте пост Сергея Ильина.

А теперь представьте всё это в ежедневном потоке вирусов, после нескольких подобных случаев. Конечно же, дабы более такого не возникало мы будем просто молча добавлять

Зря!

В своё время Женя Касперский точно сказал - легче добавить, чем объяснять почему не добавили.

Плохой лозунг.

П.С. Из всего этого напрашивется вывод - вот такие вот некачественные тесты (где гоняется всякий мусор) подстёгивают антивирусные компании этот мусор детектировать и раздувать свои базы.

Бить за такие тесты нужно! А не заставлять свой антивирь детектить некоторые семплы. Ещё раз повторяю... хоти те я напишу такой же замечательный антивирус? ;)

о каждом вирусе классифицируемом КАВ

)))) Ну не смишите... Дай те мне пожалуйста описание:

какого-нибудь Backdoor.Win32.Rbot

или какого-нибудь

Trojan-Spy.Win32.Zbot

или какого-нибудь

Trojan-PSW.Win32.Maran

или может одного из десятвков тысяч

Trojan-Downloader.Win32.VB

одного хотя бы из тысяч

Trojan.Win32.Delf

или одного из милионнов

Trojan.Win32.Agent

Вы просто хотели сказать "некоторых вирусов".

а самых распространенных есть описание и у других компаний у того же симантека или доктор веба(http://info.drweb.com/virus_description/26996)

Кстати, забыл частично снять обвинения с Макафи и Софоса они детектят это как упакованный файл... (макафи просит сообщить им лабораторию...:) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Даже если в день приходит примерно 1000врусов а каждый аналитик делает хотя бы по 5(а эта цифра гораздо больше думается мне )

то уже всего двести человек надо

Тысяча - цифра с потолка? По заявлению Олега Зайцева в день бывает 300-500 уникальных зловредов. Большинство из них обрабатываются аппаратно-программными комплексами диагности и лишь малая часть человеком. Поэтому нигде 200 человек не работают. Их еще найти надо, думаете такое простое дело? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
В корне не согласен. Это ж как так надо считать?

Даже если в день приходит примерно 1000врусов а каждый аналитик делает хотя бы по 5(а эта цифра гораздо больше думается мне )

Ну давайте считать, коль на то пошло. Количество приходящих на анализ файлов (не зловредов, а файлов, так как по умолчанию, если не "паразитируют на работе чужих вирлабов", то статус файла нам не известен.

С одного только VirusTotal на анализ вендорам приходит более 1000 (!) файлов в день (и кстати уже с отчётами других антивирусов по этому файлу).

Далее. Покажите мне вирлаб, в котором работает 200 вирусных аналитиков! 20 - поверю, и то не у всех.

Плохой лозунг.

А Вы бы побыли в нашей шкуре, да поглядели как оно. Огромное количество пользователей не разделяет Ваше мнение :(

Бить за такие тесты нужно! А не заставлять свой антивирь детектить некоторые семплы

Согласен на 100%. Возглавите компанию гнобления подобных тестов? ;)

Ещё раз повторяю... хоти те я напишу такой же замечательный антивирус?

Ну поверьте мне, антивирусные компании не работают только такими методами. Просто это вынужденная мера. Поверьте - никто этого не приветствует, но уж слишком велико давление типа "а почему это вот они видят, а вы нет", и так каждый день, много раз. Измините менталитет пользователей и тестировщиков, убейте все темы типа "А вот у меня 100тыщ вирусов, так вот антивирус Х пропустил 1000 файлов, а антивирус Y нашёл все. Значит Y лучше."

Большинство из них обрабатываются аппаратно-программными комплексами диагности

Вот об этом и речь. И эти комплексы (а они то заточены и обучены) могут частенько ошибаться :( И ошибаются.

И последний, третий нюанс.

Был у нас случай: пришёл троян, при заражении в систему он дропал несколько библиотек. Аналитики наши в пылу борьбы либы тоже добавили на детект и вынос. А потом оказалось что одна из этих библиотек принадлежит какому то малоизвестному P2P-клинту. В результате - False alarm.

Это я к тому, что и ручной анализ может давать фалсы в некоторых ситуациях. Ведь не все же аналитики такие башковитые. Есть реальные ресёрчеры, а есть "дятлы", долбящие однообразные зловреды, и вот эти дятлы бывают хуше автоматизированных программно-аппаратных комплексов ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Бить за такие тесты нужно! А не заставлять свой антивирь детектить некоторые семплы. Ещё раз повторяю... хоти те я напишу такой же замечательный антивирус?

Тесты на качество детектирования сейчас все такие, коллекции очень большие, полученные из разных источников. Проверить каждый из сотни тысяч образцов нет возможности, никто этим не занимается. Используют коллекции "как есть".

Именно поэтому в тестах на качество детектирования не так важна разница в 1-2%, важнее качественные отличия на 10% и более.

Кстати, именно по причине заведомо низкой достоверности из-за качества коллекций Anti-Malware.ru не проводит свои тесты на детектирование. Не соотвествует высокому уровню качества, которого мы стараемся придерживаться. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Сергей Ильин

Именно за это я ваши тесты и уважаю. Считаю что приблизительно так тестирования антивирусов проводить и надо. Но с горе-тестировщиками на больших, левых, мусорных коллекциях мы пока ничего поделать не можем.

P.S. Кстати Клементи тоже на большой коллекции тестит, и никто не может быть уверенн в чистоте той коллекции :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Вы просто хотели сказать "некоторых вирусов".

Наверняка вы правы. Просто классификация КАВ как по мне, более удобна. Информация на русском языке, что для меня очень важно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> почему вы всегда ориентируетесь на классификацию Касперских?

Названия/классификация малвар ни под один ГОСТ не попадает, и меня, как учившегося на факультете стандартизации/сертификации, это сильно коробит :-) Выкладками от ISO тут естесно и не пахнет, но тем не менее Касперский пытается более-менне систематизировать поток заразы, причем никому он свою классификацию не навязывает.

У касперского все просто и четко в классификации: [поведение].[платформа].[имя].[версия]

Разве W32/Hooy о чем-то говорит? А вот Trojan-Downloader.Win32.Hooy.abc даже без описания на сайте сразу скажет не самому бестолковому обывателю, что это троянская к0чалка под винду, и довольно популярная, судя по версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если паразитировать, то лучше для виду имена то менять на свои доморощенные :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

А как вам что-то вроде типа:

Win32.Троян.Бэкдор.Агент.911

т.е. обозначать на русском.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

ice-berg

Интересная идея, но если планировать выход за рамки СНГ (учавствовать в тестах, в том числе на том же вирустотале)? Может лучше таки оставить латиницу? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Имхо русский там коряво смотрится. Не в обиду великому и могучему =) Особенно учитывая что:

1. Win32 - это не по-русски и не может быть по-русски

2. Троян - это сленг, а точнее просто "транслит" с английского

3. Бэкдор - это чистый "транслит" с английского

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Win32.Троян.Бэкдор.Агент.911

Не путайте. Backdoor/Trojan - это любимый вердикт другого, хоть и известного вендора.

Да и платформа в описании должна идти после поведения :)

> Если паразитировать, то лучше для виду имена то менять на свои доморощенные

Уже было бы не плохо - но это людской труд, а людей не хватает как обычно :(

Та же авира особо не заморачиваясь, все файлы, приходящее по обмену коллекциями (и почему ее еще все не выкинули из списков?) детектит роботом с вердиктами тех кто прислал коллекцию, так что у нее есть в базах и Trojan-Downloader и W32/TR и прочая нечесть, благо все коллекционное уже оттесчено коллегами и эту работу без боязни можно доверить роботу =) Перепакованых, задетекченных блокнотов чтоли им вывалить пару тысяч в следующий раз, мы-то детект уберем в тот-же день...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×