Детект программ взлома. Ложные срабатывания?

[Андрей-001 1099]

Файл Keygen.exe получен 2008.05.20 20:34:46 (CET)

Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО

Антивирус Версия Обновление Результат

AhnLab-V3 2008.5.20.0 2008.05.20 -

AntiVir 7.8.0.19 2008.05.20 -

Authentium 5.1.0.4 2008.05.19 -

Avast 4.8.1195.0 2008.05.20 -

AVG 7.5.0.516 2008.05.20 -

BitDefender 7.2 2008.05.20 -

CAT-QuickHeal 9.50 2008.05.19 (Suspicious) - DNAScan

ClamAV 0.92.1 2008.05.20 -

DrWeb 4.44.0.09170 2008.05.20 -

eSafe 7.0.15.0 2008.05.20 Suspicious File

eTrust-Vet 31.4.5806 2008.05.20 -

Ewido 4.0 2008.05.20 -

F-Prot 4.4.2.54 2008.05.16 -

F-Secure 6.70.13260.0 2008.05.20 Suspicious:W32/Malware!Gemini

Fortinet 3.14.0.0 2008.05.20 -

GData 2.0.7306.1023 2008.05.20 -

Ikarus T3.1.1.26.0 2008.05.20 -

Kaspersky 7.0.0.125 2008.05.20 -

McAfee 5299 2008.05.20 -

Microsoft 1.3520 2008.05.20 -

NOD32v2 3114 2008.05.20 -

Norman 5.80.02 2008.05.20 -

Panda 9.0.0.4 2008.05.20 Suspicious file

Prevx1 V2 2008.05.20 -

Rising 20.45.12.00 2008.05.20 -

Sophos 4.29.0 2008.05.20 Sus/UnkPacker

Sunbelt 3.0.1123.1 2008.05.17 -

Symantec 10 2008.05.20 Packed.Generic.113

TheHacker 6.2.92.314 2008.05.20 -

VBA32 3.12.6.6 2008.05.20 -

VirusBuster 4.3.26:9 2008.05.20 -

Webwasher-Gateway 6.6.2 2008.05.20 Win32.Malware.gen (suspicious)

[2600 64]

Пропустил файл Keygen2.zip представленный выше через SEP - Risk - Packed.Generic.113. статус - "No infected items".

А вот по Packed.Generic.113

Risk Level 1: Very Low

Discovered: April 16, 2008

Updated: May 7, 2008 3:15:52 PM

Type: Trojan

Infection Length: Varies

Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000

В ответ на ------------> Ха... А что упаковщики уже внезакона?

Packed.Generic.113 is a heuristic detection for files that may have been obfuscated or encrypted in order to conceal themselves from antivirus software.

Всё как на ладони

[Андрей-001 1099]

2600: Пропустил файл Keygen2.zip представленный выше через SEP

Успели вовремя. Я оба образца удалил. Если нужно для сэмпл-базы AntiMalware, то они у меня ещё есть.

[Б.. 10]

2600

Сократ переводит: Упакованное.Generic.113 - эвристическое обнаружение для файлов, что возможно затемнен или закодирован для того, чтобы скрывать сами из antivirus программного обеспечения.

Подскажите новичку! А разве просто упакованный файл в зип или рар становится опасным если его заархивировать?

И какими программами можно упаковывать и какими нельзя чтобы антивирус не ругался?

[Lemmit 31]

А разве просто упакованный файл в зип или рар становится опасным если его заархивировать?

И какими программами можно упаковывать и какими нельзя чтобы антивирус не ругался?

Как дилетант дилетанту отвечаю: в указанном случае антивирус, как я понимаю, считает подозрительным использование обфускатора, который помимо прочего сжимает исходные данные.

Само по себе сжатие файлов каким-то популярным архиватором не будет причиной срабатывания антивируса.

[Андрей-001 1099]

Мои файлы предназначались как раз нашему Супермодератору для проверки, представителю Саймантека.

Б.. А разве просто упакованный файл в зип или рар становится опасным если его заархивировать?

Lemmit

Само по себе сжатие файлов каким-то популярным архиватором не будет причиной срабатывания антивируса.

Файл я упаковал WinRarом в стандартный ZIP-формат. А если обойтись без зипа-то и запись на детекте будет другой? Смеяться или плакать?

[Lemmit 31]

Мои файлы предназначались как раз нашему Супермодератору для проверки, представителю Саймантека.

Думаю, в функции Кирилла не входит анализ присланных образцов кейгенов, присланных в форум...

Файл я упаковал WinRarом в стандартный ZIP-формат. А если обойтись без зипа-то и запись на детекте будет другой? Смеяться или плакать?

Запись не должна быть другой. Вердикт "Packed.Generic.113" относится к исходному файлу "Keygen.exe", к которому уже применен подозрительный обфускатор/кодировщик, а не к сжатию RARом.

Вам же уже написали:

В ответ на ------------> Ха... А что упаковщики уже внезакона?

Packed.Generic.113 is a heuristic detection for files that may have been obfuscated or encrypted in order to conceal themselves from antivirus software.

Всё как на ладони

[broker 30]

Подскажите новичку! А разве просто упакованный файл в зип или рар становится опасным если его заархивировать?

где-то на этом портале давались подробные разъяснения разницы между понятиями упакованный и заархивированный.

где-то на этом портале давались подробные разъяснения разницы между понятиями упакованный и заархивированный.

даже тест был http://www.anti-malware.ru/index.phtml?par...t=packers_test1

[Danilka 678]

Так,как у компании Симантек нет русскоязычного форума,задам вопрос здесь:

Почему продукция Norton детектирует кряки и кейгены?

К примеру:

По заключениям вирлаба ЛК и Dr.Web эти файлы:

Engine.exe - чистый

Кряк к pdfedit тоже чистый

keygen.exe - чистый

update.exe - чистый(Dr.Web его детектит почему то,ответ от них не пришел пока по данному файлу)

KIS-7Crack.exe - чистый

Totalcmd.exe - чистый

Проверяем эти файлы на ВТ:

http://www.virustotal.com/ru/analisis/3337...0f09-1246538887

http://www.virustotal.com/ru/analisis/6df8...6215-1246540211

http://www.virustotal.com/ru/analisis/db18...ae01-1246535733

http://www.virustotal.com/ru/analisis/8dfc...af5c-1246536916

http://www.virustotal.com/ru/analisis/a0c6...4883-1246535900

http://www.virustotal.com/ru/analisis/dc5b...f535-1246536787

Как видно- Norton детектит большинство этих файлов с вердиктом Trojan Horse.

Это ложное срабатывание или борьба с пиратством?

[priv8v 960]

Вряд ли ложняк - импорт виден как на ладони - файлы не упакованы (т.е упакованы далеко не все).

[Vadim Fedorov 255]

А какой смысл в дублировании уже созданной темы ?

[Кирилл Керценбаум 671]

Почему продукция Norton детектирует кряки и кейгены?

Потому что пока не доказано обратное - они являются вредоносным ПО

Как видно- Norton детектит большинство этих файлов с вердиктом Trojan Horse.

И заметьте - не только Norton, если 75% движков детектят образец как вредоносное ПО, значит таковым оно и является с очень большой вероятностью. И не стоит гордиться в данном случае что ЛК и Веб их не детектят, это не показатель

[priv8v 960]

Потому что пока не доказано обратное - они являются вредоносным ПО

Имхо, базы наполняются по другой философии. Допустим в вирлаб попадает некий файл. В каком случае он будет внесен в базы? Только в том случае, если ав.аналитик сам для себя докажет, что файл вредоносный, а не в том случае, если этому ав.аналитику никто не сможет доказать, что файл безвреден. Т.е тут некая презумпция невиновности - пока не доказано, что файл вредоносный - считается что он чистый, а не наоборот, как написали Вы.

К тому же, как доказывается, что файл чистый, если не доказано, что он вредоносный?..

Ведь хелло_ворлд Симантек не детектит, хотя не доказано никем, что он чистый.

значит таковым оно и является с очень большой вероятностью. И не стоит гордиться в данном случае что ЛК и Веб их не детектят,

таковое происходит из-за обмена сэмплами и рассылкой семплов вирустоталом вендорам. Одни проверяют файлы более пристально - другие менее. Примерно выходит так - аналитик берет в руки файл, пришедший с ВТ и видит, что шибко безопасным файл не является, но и откровенным зловредом тоже - и лепит ему поэтому Trojan Horse.

это не показатель

Заметьте - это Вы первый сейчас предложили меряться показателями (длиной хобота слонов). Речь идет не о каких-то показателях, а только о политики АВ-компании в отношении детектирования/отсутствия детекта в отношении кряков, когда точно известно, что это именно кряк и ничто больше.

[Danilka 678]

Вряд ли ложняк - импорт виден как на ладони - файлы не упакованы (т.е упакованы далеко не все).

Все ок,они 100% не вредоносные,хотя у некоторых схожее поведение замечается...

Ну про 75% движков не показатель- давно известно.что некоторые тупо "копируют" детект другого вендора...

А что показатель,что файл безвредный,а 75% его детектят? Бред. Ясное дело,что Симантек в данном случае(так как обсуждение ведется в Вашем разделе) не признает что обманывает пользователей детектя кряки,как трояны и что они вообще безопасны.... Репутация....

Просто расчитано все на неграмотных в этом плане людей- детектит,значит вредонос-а то что это ложняк или намеренный детект никто и не задумывается...

[Ingener 150]

Скажите какова официальная политика столь крупной и уважающей своих клиентов компании по вопросу детекта кряков. Ведь наверника детектить кряки или нет решает не конкретный вирусный аналитик каждый для себя сам, а руководство компании - какими соображениями оно при этом пользуется? Ваша компания известна хорошим отношением к своим клиентам, но в данном случае их нагло обманывают - выдавая безобидные файлы за зловреды, чем это обосновано? Почему крякам дают названия реальных зловредов - от этого складывается плохое мнение о качестве работы вирлаба: вирусные аналитики не могут отличить безобидный файл от реального зловреда? Почему компания не дорожит своей репутацией - обманывая клиентов, давая крякам имена настоящих зловредов?

[Vadim Fedorov 255]

Мне кажется, что стоит учитывать то, о чем уже упомянул Paul в своем сообщении -

т.е. разницу восприятия в различных странах. Определенная часть покупателей в Западных странах

(как корпоративной, так и потребительской продукции), относятся к "крякам и кейгенам" как к вредному ПО,

которому не место на их компьютерах. И вряд ли эта группа покупателей положительно воспримет

факт игнорирования подобного ПО их антивирусным продуктом, т.к. "кряки и кейгены"

являются по своей сути противозаконным ПО, потенциально способным нанести ущерб репутации,

либо повлечь административную / уголовную ответственность в случае загрузки по незнанию / непониманию подобного ПО.

Я согласен с тем, что что-нибудь наподобие "HackTool" более точно определяет тип угрозы, чем типовое клише "Trojan Horse",

но, вряд ли это будет иметь значение для вышеупомянутой категории покупателей, а с точки зрения аналитиков,

стоить затраченного времени на подробную классификацию "кряков и кейгенов".

[Кирилл Керценбаум 671]

Danilka эта тема уже обсуждалась, перечитайте эту объединенную тему с самого начала, вам все станет понятно

[Danilka 678]

Danilka эта тема уже обсуждалась, перечитайте эту объединенную тему с самого начала, вам все станет понятно

Перечитал,выводы сделал.....

[Maratka 30]

Это же логично - тот, кто платит деньги за продукт - обслуживаются в первую очередь.

Всплыла откуда-то старая тема, ну да ладно...

Вы до сих пор свое мнение так и не поменяли?

И считаете, что присланный "не-клиентом" вирь может полежать без детекта до того времени, пока им не заразиться критическая масса "клиентов" Симентика, и кто-то из них не пришлет файл повторно?

[Maratka 30]

ау-ууу

[ANDYBOND 283]

https://submit.symantec.com/websubmit/retail.cgi

This submission form is intended for users of Norton AntiVirus, Norton Internet Security and Norton SystemWorks.

Если посмотреть внимательно, то номер лицензии там не запрашивается. Таким образом, прислать вирус может любой человек.

[2600 64]

Maratka, молчание - это тоже своего рода ответ...

Вы до сих пор свое мнение так и не поменяли?

Нет,не поменял. Антивирусная компания сама имеет право расставлять свои приоритеты. Однако если клиент заплатил - то он и имеет право рассчитывать на более приоритетный (быстрый) отклик от антивирусной компании. Это ни в коем случае не означает что не должны рассматриваться зловреды не от клиентов.

Как написал Кирилл -

Symantec Security Response не ставит своей задачаей охватить все и вся - приоритет на наиболее опасных угрозах и, прежде всего, на своих клиентах. И данный принцип дает свои положительные результаты...

[Рашевский Роман 110]

Мне кажется, что стоит учитывать то, о чем уже упомянул Paul в своем сообщении -

т.е. разницу восприятия в различных странах. Определенная часть покупателей в Западных странах

(как корпоративной, так и потребительской продукции), относятся к "крякам и кейгенам" как к вредному ПО,

которому не место на их компьютерах. И вряд ли эта группа покупателей положительно воспримет

факт игнорирования подобного ПО их антивирусным продуктом, т.к. "кряки и кейгены"

являются по своей сути противозаконным ПО, потенциально способным нанести ущерб репутации,

либо повлечь административную / уголовную ответственность в случае загрузки по незнанию / непониманию подобного ПО.

Я согласен с тем, что что-нибудь наподобие "HackTool" более точно определяет тип угрозы, чем типовое клише "Trojan Horse",

но, вряд ли это будет иметь значение для вышеупомянутой категории покупателей, а с точки зрения аналитиков,

стоить затраченного времени на подробную классификацию "кряков и кейгенов".

Во-первых, мы живем не в "Западных странах".

Во-вторых Вы можете предоставить заключение о противозаконности хотя бы одного из представленных образцов?

В третьих, пользователь может и без посторонней помощи решить что и как ему делать.

[p2u 824]

Во-первых, мы живем не в "Западных странах".

Во-вторых Вы можете предоставить заключение о противозаконности хотя бы одного из представленных образцов?

В третьих, пользователь может и без посторонней помощи решить что и как ему делать.

Симантек - законопослушная американская компания. Закрепление демократического и экономического строя США для неё святое дело (как и для Майкрософта, Макафи и других, кстати). При этом может случиться так, что:

1) то, что не троян - детектится всё равно как троян, и

2) то, что заведомо троян (Magic Lantern от ФБР, например) - не детектится.

всё в зависимости от поставленных задач.

Надеюсь, что я понятно выразил свою мысль.

Paul

[Андрей-001 1099]

Определенная часть покупателей в Западных странах

(как корпоративной, так и потребительской продукции), относятся к "крякам и кейгенам" как к вредному ПО,

которому не место на их компьютерах. И вряд ли эта группа покупателей положительно воспримет

факт игнорирования подобного ПО их антивирусным продуктом, т.к. "кряки и кейгены"

Выходя на российский рынок западная компания должна учитывать российский человеческий фактор и подстраиваться под него, а не навязывать свою "демократию и политику".

Единственное, что надо изменить в продуктах Symantec для успешного шествия по российскому рынку - по умолчанию банально не удалять без спроса кейгены и кряки к другим продуктам, если они не содержат вредоносного кода. Пока же я наблюдаю обратное - находит, что плохо лежит, помещает в карантин и неотступно предлагает избавиться от этого, пока не запретишь насильно или не дашь согласия на удаление.

Далее, как в этом посте, т.е.:

Любая антивирусная компания имеет право не только детектить кейгены/кряки к своим продуктам, но и удалять их без возможности восстановления в чистом виде.