Umnik

Странные фолсы Авиры

В этой теме 165 сообщений

Вложенный файл написан на VB6. Ничем не упакован, не криптован и т.п. Функционал - после запуска ждет 30 сек, затем ищет в реестре наши каталоги (ЛК), находит наш продукт и запускает avp.com с параметром update.

Как объяснить этот фолс?

KUS.zip

KUS.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TR/Crypt.CFI.Gen

Описание:

Групповая функция обнаружения для распознавания общих фамильных признаков различных вариантов.

Может просто спутали с каким-нибудь AVP kill на VB?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чем спутали? Тем, что в реестре ищет? Фолсу уже неделю закрывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А ответ с признанием ложного срабатывания был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А ответ с признанием ложного срабатывания был?

Ни ответа ни привета

Отправлял из бесплатной версии Авиры, встроенным средством - "пожаловаться на ложное срабатывание"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я всегда отправляю через веб-форму именно потому, что так всегда приходит ответ. При отправке из самой программы ответ не приходит. Когда я отправлял ложное срабатывание на Coyote.exe, детект был снят на следующий день.

Отправил KUS. Подождём результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я всегда отправляю через веб-форму именно потому, что так всегда приходит ответ. При отправке из самой программы ответ не приходит. Когда я отправлял ложное срабатывание на Coyote.exe, детект был снят на следующий день.

Отправил KUS. Подождём результат.

Спасибо, но тем более странно - в самой Авире эта форма как близнец веб-формы, на которую Вы ссылку дали:

false.png

post-1077-1240346711_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В ЛК тоже со сроками в последнее время не все хорошо... ;)

08f4432afeddt.jpg56f439b67bb5t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проблема не в сроке.

Проблема в том, что им послали не бабочку, красивую и пушистую, а сообщение об бракоделии. На это ЛК вроде при любом раскладе реагирует быстро, нет?

А в Вашем примере есть какой-то здоровенный файл, который прошел через робота, отсеющего львиную долю зловредов на автомате, и ничего в нем не нашел. Потому (после этого) этот здоровенный файл пришлось долго и пристально вручную разглядывать человеку, которому и так в общем то понятно, что скорее всего ничего там не светит. Отсюда (IMHO) и сроки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Спасибо, но тем более странно - в самой Авире эта форма как близнец веб-формы, на которую Вы ссылку дали:

Мне тоже непонятно, почему нельзя было прикрутить систему автоматического ответа к менеджеру карантина, как это сделано при отправке через сайт. Я задавал этот вопрос на русскоязычном сайте. Ответа, естественно, не получил. Надеюсь, разработчики со временем исправят этот недостаток.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
файл ничем не упакован

Авира посчитала, что упакован ((:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Авира посчитала, что упакован ((:

За такое убивать надо!

(с) Лёлик (Бриллиантовая рука)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
За такое убивать надо!

(с) Лёлик (Бриллиантовая рука)

Ага. Файл, который притворяется упакованным. :lol:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ага. Файл, который притворяется упакованным. :lol:

да ничем он не притворяется - чистый vb6 + пару функций Reg* Win32Api + Sleep (видно невооруженным глазом)

Обычный фолс этой т.н. generic detection routine

Imho, фиксить не будут, пофиксится, скорее всего, "само" при каком-нибудь очередном апдейте движка.

А вообще (опять же, это - imho, спорить с фанатами никакого желания нет)

на данный момент Avira перекочевала из диапазона Av-продуктов в, по довольно меткому выражению, "лучший в мире чекер РЕ файлов на валидность". Правильно это или нет, опрадывает ли себя такой подход в тех или иных условиях - спорить не собираюсь.

Понятно (говорю лично за себя), что в таком раскладе, нередко будут попадаться и ложняки на невинное файло. что и случилось выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну вот и всё, вот результат. Детект уже снят. :)

когда перестанет детектиться - тогда снят ; ) думается, теперь - дня три-недельку (это не VDF - так что регулярное обновление баз тут непричем)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
когда перестанет детектиться - тогда снят ; ) думается, теперь - дня три-недельку (это не VDF - так что регулярное обновление баз тут непричем)
Там же написано:
Detection will be removed from our virus definition file (VDF) with one of the next updates.

Я же написал - детект снят! - т.е. уже не детектится! :) Проверено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Файлик раздетектился, подтверждаю

Теперь имееем дистр старенького WinRar'а - на какой именно файл внутри идет срабатывания думаю разобраться будет легко...

http://ktu.kasperskyclub.com/wrar341ru.exe

Наученный горьким опытом файл посылал через форму на сайте - жду сутки с копейками...

ВирусТотал по поводу файла звереет, и играет в "кто первый имя детекта передерет у конкурента" :)

Впрочем, смотрите все сами :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Теперь имееем дистр старенького WinRar'а - на какой именно файл внутри идет срабатывания думаю разобраться будет легко...

Ну, чтобы получить клеймо криптокока не обязательно быть чем-то страшным. :)

http://www.virustotal.com/analisis/e08a543...1462745e17474fa

test.zip

test.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если то-же самое проделать с реальным вредоносом, которого все знают и кинуть его на Вирустотал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...думается, теперь - дня три-недельку (это не VDF - так что регулярное обновление баз тут непричем)

Окончание истории, если это кому-либо интересно:

Engine Update AV8/9 8.02.00.156 / AV7 7.09.00.156 (2009-04-24)

Engine Update AV8/9 8.02.00.156 / AV7 7.09.00.156 (2009-04-24)

...

- Updated: Heuristic and generic detections:

...

TR/Crypt.CFI.Gen

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

мама мия...rapidshare.com блочит-вредоносное ПО....

это так Авира решила бороться с ними-так как стучат на пользователей они теперь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Лола
      Я сижу с прокси-сервером https://advanced.name/.../u5 При помощи такого быстрого прокси-сервера страницы стали загружаться с одного клика, а заблокированные сайты стали доступными.
    • PR55.RP55
      1) Чаще всего такое сообщение появляется, если не верно установлено системное время. Если на PC 2025 год то самые актуальные обновления будут устаревшими. 2) Malwarebytes при наличие в системе антивируса _нужно устанавливать в режиме сканера. т.е. с отключённой защитой в реальном времени - во избежание конфликта. ---------- Форум: anti-malware.ru практически склеил ласты. Хотите получить ответ пишите на:  comss.ru
    • ratus
      Доброго времени суток! У меня следующая проблема. На информационной панели malwarebytes Следующие сообщение: "Ваши обновления не являются актуальными", При этом, с интернетом все в порядке Не помогает и обновление при помощи скаченных в ручную баз. Я подозреваю, что это могло произойти из-за установки антивируса поверх уже существующего. Но после последнего описанного события я переустановил программу корректно. Может причина в том, что антивирус не обновлен до premium версии.  
    • AM_Bot
      Алексей Андрияшин, технический директор Fortinet в России, поделился своим взглядом на тенденции информационной безопасности, а также рассказал, как защищать организацию с помощью экосистемы Fortinet. Читать далее
    • Ego Dekker
      Антивирусы были обновлены до версии 10.1.245.1.