Перейти к содержанию

Recommended Posts

ak_

Всё равно непонятно. При чем здесь текущие базы по отношению к безопасному файлу.

Если файла нет в базах и он признаётся вредоносным, то приходит ответ такого формата:

Здравствуйте,

c.js_ - Trojan-Downloader.JS.Agent.dmq

Детектирование файла будет добавлено в следующее обновление.

Пароль: infected

Это сообщение или его часть не может быть опубликована в любых

средствах массовой информации, форумах, конференциях и.т.д, без

предварительного разрешения отправителя.

При ответе цитируйте всю предыдущую переписку.

Спасибо.

---------

С уважением, Давидов Дмитрий

Вирусный аналитик

ЗАО "Лаборатория Касперского"

P.S. Разрешение на публикацию было получено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aike

Всего лишь другая подпись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

В первом случае не вступает ли подпись в противоречие с содержанием ответа и не искажает ли его смысл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aike

А что противоречивого и искажающего смысл?

Файл считается чистым, в базы он добавлен не будет.

А завтра робот возмет и задетектит его, а пользователь что? "Нотариально заверенными скриншотами" размахивать, мол как же так, мне говорили что он чистый?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Не пойму логику: на каком основании файл признаётся "чистым"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aike

Ну очевидно на том, что он не делает ничего зловредного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Всё. Понятно. Дальнейший диалог считаю бессмысленным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1
Всё равно непонятно. При чем здесь текущие базы по отношению к безопасному файлу.

Если файла нет в базах и он признаётся вредоносным, то приходит ответ такого формата:

Эта подпись есть и при добавлении в базу:
Здравствуйте,

SystemGuard2009.exe_ - Trojan-Downloader.Win32.FraudLoad.dmj

Детектирование файла будет добавлено в следующее обновление.

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

Самое интересное, что в ответе на зараженный сайт у одного и того же аналитика этой подписи не было, а в ответе на вирус была.

Скорее всего, когда есть эта подпись - это робот выдал вердикт. У Др.Веба честно пишется, что автоматичеки проанализировано, а в ЛК нет такого. В пользу этой версии: ответы с этой подписью довольно быстро приходили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Ну почему же? :)

с оффтопом закругляемся

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Сколько всякой "нечисти", оказывается, есть у меня на компе:

f3f57804249c.jpg

По порядку: на первый файл (gif) месяц назад было ложное срабатывание у Аваста: http://www.virustotal.com/ru/analisis/029d...a3f1d84feb596c0

Теперь его детектят только Ikarus и a-squared (базы Икаруса): http://www.virustotal.com/ru/analisis/6c9e...c1bead8a0affdd8

Второй файл - интсаллятор (давно валяется на диске, не использовался): http://www.virustotal.com/ru/analisis/a954...61fc0044f87a90b Отправлю ради интереса на анализ.

Ну с третим файлом всё и так понятно, даже по названию.

На четвёртый файл (Coyote.exe) было ложное срабатывание у Авиры (пофиксили за сутки), но посмотрите, как бодро реагируют сейчас на этот файл другие антивирусы (а ещё говорят, что у Авиры много ложных срабатываний): http://www.virustotal.com/ru/analisis/4467...cf743e5e6cf4aa0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Сколько всякой "нечисти", оказывается, есть у меня на компе

Ак, 4 файла??? :blink::blink::blink: Да твой комп стерилен!

я ставил около полугода назад - у меня она нашла около 200! Это после Авиры.

При ближайшем рассмотрении все они оказались фолсами.

Я теперь ко всему "икарусному" (кроме разве что автобусов) и близко не подойду.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Если написать в ВирЛаб a-squared о ложном срабатывании,то им прийдётся всё фиксить это минимум до утра.

У Авиры я например ложных срабатываний ещё ни разу не встречал.

Я теперь ко всему "икарусному" (кроме разве что автобусов) и близко не подойду.

laugh.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Я пол года назад тоже ставил эту программу и ложных срабатываний было много. Вот интересно, как же ей можно пользоваться? Возьмет она и удалит что нибудь "лишнее". Например от очень нужных программ, от Windows

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Я пол года назад тоже ставил эту программу и ложных срабатываний было много. Вот интересно, как же ей можно пользоваться? Возьмет она и удалит что нибудь "лишнее". Например от очень нужных программ, от Windows.

Она по умолчанию ничего не удаляет - оставляет выбор пользователью. Однако все эти фолсы, конечно, пугают чайника всё равно. У меня почему-то ничего не находит...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

У меня, например, она посчитала за зловредов все электронные книги, коих у меня несколько десятков. Ни одной не пропустила. Года 2 назад Авира этим тоже грешила, но не в такой степени. Я тогда отправил им парочку сэмплов, и потом сразу же они это пофиксили, и больше этого не повторялось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Второй файл - интсаллятор (давно валяется на диске, не использовался): http://www.virustotal.com/ru/analisis/a954...61fc0044f87a90b Отправлю ради интереса на анализ.

Ответ из вирлаба Авиры:

File ID Filename Size (Byte) Result

25344431 homebuh.exe 4.75 MB CLEAN

Ответа из вирлаба ЛК до сих пор нет, хотя отправлял одновременно. Но в общем и так ясно, что файл чист.

Доб. 13.05.2009 09:03 Получен ответ из ЛК:

В присланном Вами файле не найдено ничего вредоносного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×