VirusTotal сказал "-Хватит! - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
A.

VirusTotal сказал "-Хватит!

Recommended Posts

A.

и отключил опцию "не отправлять файл в антивирусные компании".

Теперь все проверяемые файлы - автоматически будут доставлены вендорам, чьи продукты использованы на ВТ.

Официальное разьяснение дано в блоге компании:

http://blog.hispasec.com/virustotal/28

комментарии тоже интересны

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

Свой смысл в этом есть.

А что касается коментариев, то их авторы, вероятно, не заинтересованы в том, чтобы их файлы отправлялись к Производителям Антивирусов....

Хотя, если я отправляю на проверку чистый файл, какой смысл отправлять его вендорам?

Вопрос о целесообразности подобного решения считаю спорным.

Много хитрых моментов...

Ведь каждый присланный файл нужно изучить для того, чтобы дать заключение о его вредоносности....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

В этом есть и плюсы и минусы. Что касается вредоносов, думаю, хорошо, что они будут отправляться всем вендорам. Будет меньше вероятность не детекта вредоносов. Также возрастет нагрузка на вирлабы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

С другой стороны - классно, проверил на Вирустотале и не надо заморачиваться перепиской с вирлабами, а то в последнее время меня процесс общения с вирусными аналитиками стал немного напрягать, то я им файлы битые отправил, то видите ли они вообще не вредоносные :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Заинтересованы ли вирлабы в потоке самплов/мусора с вирустутала? Вот, в чем вопрос. ИМХО решение в пользу бедных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

вирустотал с огнем играет

там в комментариях очень правильно заметили про приватные документы, да и вообще любые файлы, которые их сабмиттер не хочет никому давать.

ладно бы они просто на вирустотале в архиве оставались (или удалялись), но в нынешней ситуации они автоматически попадут в пару десятков третьих компаний, которые(!) не несут никакой ответственности(!) перед оригинальным сабмиттером(!) и могут (в принципе) предать содержимое этих файлов огласке(!).

Когда антивирусные компании обмениваются файлами - существует негласное правило - не посылать ни в коем случае оригинальные файлы с пользовательской информацией (любой). Самый наглядный пример - макровирусы. Антивирусная компания может передать другой только собственный зараженный тестовый файл (goat), но никак не зараженный файл от пользователя.

И разумеется компания несет ответственность - поскольку пользователь явно ДОВЕРЯЕТ данной компании, направляя свой файл именно ей.

В случае с ВТ этого ничего нет. Представьте себе ситуацию - сотрудник какого-нибудь интегратора (ЛЕТЫ, например, хихи), подозревает наличие вируса в файле содержащем коммерческое предложение и тайные условия для ФНС.

Разумеется он никогда в жизни не отправил бы этот файл в вирлаб ЛК - поскольку там посмотрят и скажут АГА! со всеми вытекающими.

А тут он идет на ВТ - проверяет файл и тот оказывается у всей толпы конкурентов.

Утечка информации, коммерческий шпионаж, жертвы и разрушения. Кого наказать ? ВТ - за разглашение и передачу информации третьим лицам. По уму - ВТ должен с каждым юзером подписывать специальное соглашение, причем там должны быть реальные данные пользователей (привет Виталег). И еще желательно чтобы пользователь мог сам определять в какие именно вирлабы можно отправлять его файлы, а в чьи - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Короче, хотели как лучше, а получилось как всегда :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
там в комментариях очень правильно заметили про приватные документы, да и вообще любые файлы, которые их сабмиттер не хочет никому давать.

ладно бы они просто на вирустотале в архиве оставались (или удалялись), но в нынешней ситуации они автоматически попадут в пару десятков третьих компаний, которые(!) не несут никакой ответственности(!) перед оригинальным сабмиттером(!) и могут (в принципе) предать содержимое этих файлов огласке(!).

Если человек идиот, отсылая на проверку на общественный сервис приватные критически важные данные (вне зависимости от того раздает или не раздает эти файлы сервис), то он скорей всего и кнопку "не распространять" не увидит или не нажмет. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

это неважно.

важно, что теперь, при желании, любой может вкатить VT воооотакенный судебный иск.

ибо нигде при отправке файла нет ни единого словапредупреждения, пользователь никак явно не подтверждает своего желания раздать файл толпе народу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
это неважно.

важно, что теперь, при желании, любой может вкатить VT воооотакенный судебный иск.

ибо нигде при отправке файла нет ни единого словапредупреждения, пользователь никак явно не подтверждает своего желания раздать файл толпе народу.

Это да.

Но, может быть, придумают какую-нибудь галочку согласия с условиями.

Если им кто-нибудь подскажет или сами догадаются. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Кто займется подсказкой пути истинного для ВТ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

ХА, нашли проблему!

напишут где нить в низу страницы мелким шрифтом серым цветом: "все присылаемые файлы отправляются в вир лабы антивирусных компаний. Если вы используете наш сайт, значит вы согласны с данным условием, и понимаете все возможные последствия..." и т.д. и т.п.

Вспомните все приколы с кредитами в первое время... Думаете у нас одних такие умельцы есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
важно, что теперь, при желании, любой может вкатить VT воооотакенный судебный иск.

Интересно, сделал ли это хоть кто-нибудь? Или все смирились с очередным проявлением своего рода произвола?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Demkd Я бы ещё добавил подсчёт идентичных файлов.  ( если это принципиально не скажется на производительности ) По крайней мере раньше бывало и такое, что в системе десятки идентичных  файлов - но  с разными именами. И Опционально Запуск uVS - в качестве ловушки. Например  программа стартует не как: gvprin , а как firefox.exe и отслеживает всех желающих... приобщиться.    
    • PR55.RP55
      Добавить возможность "автоматического" контроля со стороны оператора\админа за актуальностью\версией установленных программ. т.е. Оператор создаёт файл "Контроль Программ.txt" и следит за его актуальностью. И при открытии меню: Дополнительно > Установленные программы  в списке отображаться не только версия установленной программы - но и её актуальная версия из Контроль Программ.txt * * или же вместо числового значения\версии - отображается запись\уведомление заданное оператором: - например: ! Внимание найден антивирус ! ** Все записи подпавшие под... критерий - перемещаются в начало списка.  
    • demkd
      ---------------------------------------------------------
       4.99.6
      ---------------------------------------------------------
       o Добавлен еще один ключ автозапуска, используемый троянами и майнерами.

       o Добавлена новая опция запуска uVS: Искать в пользовательских каталогах скрытые исполняемые файлы.
         В пользовательских каталогах не должно быть подобных файлов, если же они есть то стоит внимательно изучить их содержимое.
         По умолчанию опция включена, отключить ее можно в окне запуска.
         Если опция включена то просматривается весь каталог "Documents and Settings" (Users+ProgramData для новых систем)
         со всеми подкаталогами. При обнаружении исполняемых файлов с атрибутами "скрытый" или "системный" такой файл добавляется
         в список со статусом "подозрительный", статус может быть снят автоматически если файл есть в базе проверенных файлов.
         Сканирование каталогов идет в отдельном потоке параллельно с построением списка автозапуска,
         однако включение этой опции может увеличить время обновления списка для одноядерных процессоров и систем на HDD.
         Тестировании проводилось только для системы на SSD, тестовый "Documents and Settings" содержал в себе 70979 подкаталогов с 452175 файлами,
         время обновления списка (при запуске uVS сразу после перезагрузки системы) увеличилось на 5%.

       o В лог добавлен статус Windows Defender-а.

       o В лог добавлен статус отслеживания командной строки процессов.

       o Добавлена возможность удаления исключений Windows Defender-а в активной системе без виртуализации реестра с помощью powershell.
         Функция может удалять исключения: путь, процесс, расширение.
         (!) Функция недоступна если powershell отсутствует или powershell не имеет правильной эцп.
       
    • PR55.RP55
      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
×